パスワードを忘れた? アカウント作成
20907 story
Google

Gmailバックアップソフトからアカウント情報が抜かれている 70

ストーリー by nabeshin
サブツール選びは慎重に 部門より

Gmailアカウント×20 曰く、

Google Maniacsの記事「【らめぇ】ログイン情報を盗む極悪Gmail用ツール(しかも有償)の存在が発覚」によると、Gmailバックアップ用シェアウェア($29.95)のG-Archiverというソフトにおいて、ユーザーのアカウントとパスワードをプログラム作成者に送信する機能が隠されていたそうだ。ソースはGuardianの記事「Coding Horror — G-Archiver gathers Gmail names and passwords」、また大元の情報はCoding Horrorのblog記事「A Question of Programming Ethics」。記事によると、G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーディングされているのに気づき、そのアカウントにログインしてみたところ、1777個のGmailアカウント情報がそのアカウント宛メールとして受信されているのを発見したとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年03月12日 15時00分 (#1311724)
    タレコミの焦点(サードパーティ製ソフトのセキュリティリスク)からはオフトピですが、
    GmailのバックアップならメーラーでPOPかIMAPでサーバーにアクセスして
    全ダウンロードすればいいような気がするのですが………何か特殊な機能があったんですかね?
  • こっちはどうなの? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年03月12日 14時59分 (#1311722)
    >G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーティングされているのに気づき、そのアカウントにログインしてみた

    他人のアカウントとパスワードで勝手にログインしてるってことだよね?
    • by rootbear (25827) on 2008年03月12日 15時28分 (#1311739)
      タレコミでは省略されてますが、元のブログによれば、作者のアカウントとパスワードが
      ハードコーディングされていて、しかも新しいアカウント情報をG-Archiverに追加するたびに
      そのユーザー名とパスワードをメールで送っているのに気づいたので、心配になって
      ハードコードされた作者のアカウントにログインしてみた、とあります。

      確かに自分のアカウント情報が勝手にメールで送信されていたら誰でも心配になりますが、
      この場合他人のアカウント情報まで見てしまうことになるので、個人的には作者のアカウントで
      勝手にログインするよりも、Googleに連絡して作者のアカウントをロックしてもらうとか、
      他にするべきことがあったのではないかと思います。
      親コメント
      • Re:こっちはどうなの? (スコア:2, すばらしい洞察)

        by takamanohara (33533) on 2008年03月12日 19時25分 (#1311907)
        Ryo.F 氏も書いてるけど、そんなたらたらやってたら被害も大きくなるし、
        (この件じゃないけど)犯人も逃げちゃうのでは?

        悪いのをとっつかまえる方が完璧に潔白でなければならないという変な考えが進化して
        被害者無視の加害者保護になってるんじゃないの?
        親コメント
        • Re:こっちはどうなの? (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2008年03月12日 20時21分 (#1311939)
          「たらたらやっていたら」っていう論点は理解する。

          でも。
          「無罪の推定」を原則とする方を支持したいので推定有罪は懲罰を原則というのはイデオロギー的に従いたくないw
          #男性でしたら「痴漢」「それでも僕は」で検索して、「女性に訴えられたら反論できない」という人以外なら語りあいたい。
          親コメント
      • by Anonymous Coward on 2008年03月12日 15時38分 (#1311745)
        blogに送られたメールの最後の段落

        I decided to go ahead and blast every email to the deleted folder and then empty it. I may have accidentally changed the password and security question to something I don't remember as well, whoops, my bad. I also contacted google to erase this account as I didn't see a way to delete it myself.

        見ると、Googleに連絡してもいるようですが、キャプチャ取っただけじゃなくてメール全消しパスワード変更秘密の質問変更までしてるみたいですね。ちょっとやり過ぎな感じが。
        親コメント
      • by Anonymous Coward on 2008年03月12日 18時11分 (#1311862)
        というか、ハードコードに気づく(あるいは自分のパケットをマメにチェックする)技術レベルの人が、そもそもこんなもんを30ドルも出して買ってしまったという方があり得ない気がするのだが。
        親コメント
    • by UZU (35852) on 2008年03月12日 15時38分 (#1311744) 日記
      世間一般倫理的にはアウトな行為に思えますが、他人のアカウントをしようすること自体に(ネットゲーのような)罰則は無いようですね。
      節穴の目でGmailの利用規約を読んでみましたが該当する項目はなさそうです。
      近いところでは、アカウント・パスワードは自分で管理してね、と書いてあるくらいでしょうか。
      ので、処置を食らうとしたらプログラムの作成者の方かと。

      他の人のアドレスが見えちゃったのは「ログインしてみた」人の罪にはならないかと。
      ただの結果ですし。
      親コメント
      • by Anonymous Coward on 2008年03月12日 15時57分 (#1311756)
        不正アクセス禁止法 [wikipedia.org]で禁じられています。
        > 不正アクセス行為の具体的な例
        > ・インターネットを通じて、ブラウザで認証用のページから他人のユーザー名とパスワードを勝手に使ってログインする行為。

        #外国はしりませんが。
        親コメント
        • by Anonymous Coward on 2008年03月12日 23時30分 (#1312071)
          >他人のユーザー名とパスワードを勝手に使って

          あるアカウントが誰のものかというのは、実は微妙な問題ではないでしょうか。
          そのアカウントを最初に取得した人と考えればよいのでしょうか?

          私がつかってる「.mac」のメールアカウントを、ある人が自分のものだと信じているようで、その人はどうやら単に自分がパスワードを忘れたんだと思ってるらしく、なんどもパスワード変更をしようとトライしているのです(「パスワードを本当に変更しますか? 」というシステムからの確認メールがしょっちゅうくる)。
          その人は、知人などにそのアドレスを教えているらしく、その人あてのメールもよく来ます。
          もしその人が偶然ログインに成功してしまったり、「パスワードを本当に変更しますか? 」という確認メールに私がうっかりOKしてしまったら、その人には悪意がなくてもアカウントがのっとられてしまうのだと思うと怖いです...

          いやもちろん「.mac」の場合ならAppleが情報提供すれば最初にアカウントを取得したのが誰なのかはっきりしますが、もし無料のサービスなどで、個人情報をほとんど入力せずに(もしくは偽りの個人情報を入力して)取得したアカウントの場合、話は微妙になってくるような。

          親コメント
        • >(当該アクセス制御機能を付加したアクセス管理者がするもの及び
          >当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

          この場合は「当該識別符号に係る利用権者の承諾を得て」に該当するかもしれない。しないかもしれない。
          例だけで判断するのは危険ですね。
          親コメント
    • by Anonymous Coward
      どうせそのプログラムからも勝手にログインしてるんだから、
      「プログラムが勝手にログインしてました!」も
      「なんか書いてあったからログインしてみた!」も
      利用規約に(多分)書いてあることに違反している意味では、いっしょなんじゃね?
    • by Anonymous Coward
      > 勝手にログインしてるってことだよね?

      受け取った荷物の中に住所を書いたメモと鍵が入っていれば、
      入ってくれと明言されてなくても誘われたと認識する事には妥当性がある様に思う。
    • by Anonymous Coward
      >G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーティングされているのに気づき、そのアカウントにログインしてみた

      ハードコーディングされていなかったら(単純なダンプでは分からないようにコーディングされていたら)
      分からなかったということだよね?
  • by 127.0.0.1 (33105) on 2008年03月12日 16時12分 (#1311768) 日記
    G-Archiverの作者はこの件についてどう主張しているんでしょうか。

  • by Anonymous Coward on 2008年03月11日 16時24分 (#1311182)
    自分のアカウントのパスワードも仕込んでおいた理由がわからない。
    他人のユーザー情報を自分のアカウントに送りつけるだけならパスワードはいらないだろうに。
    • Re:これはひどい…が (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2008年03月11日 16時58分 (#1311202)
      いや、それだと盗もうとするアカウントの送信履歴に足跡が残るでしょ。
      自分のアカウントにログインして自分宛にメール送れば、盗もうとするアカウントにはログが残らない。
      親コメント
      • by Anonymous Coward
        ソフトが自前でSMTP喋ればいいんじゃないかな。
        • by Anonymous Coward
          さすがに自サーバー宛のメールはsmtp認証もいらないし
          単純に投げるだけで問題無いはずだよねぇ~

          まぁ間抜けだから発覚したって事で...
          • by little( (31297) on 2008年03月12日 17時58分 (#1311849) ホームページ 日記
            そんな事をすればもっと早く見つかっていた可能性が高い。
            Gmailに対する処理以外のパケットが流れれば、それに気づく人もいるだろう。
            しかし、Gmailを使って送れば、アクセス先はGmailだけであり、気づく可能性は低い。
            Gmailに対して、利用者のアカウントとパスワードが含まれたパケットが送られても、それはログインの為にも必要な行為であり、疑問に思われないだろう。

            親コメント
      • by Anonymous Coward
        そもそも間抜けすぎるな。
        最低でも以下の手順にしないとダメでしょう。
        1.アカウントとパスワードは暗号化する
        2.別アカウントに送信する
        3.別アカウントからさらに別にアカウントに転送する
        4.別アカウントはGmail以外である
        • by tks256 (30608) on 2008年03月12日 22時05分 (#1312004)
          Gmail以外へ飛んでいるパケットが見つかったらすぐ見つかるのではないでしょうか。
          今回は,Gmailに使うアプリケーションがGmailに対して通信していたからこそ,
          ソースレベルまで解析しないとわからなかったのではないかと思います。
          親コメント
  • by Anonymous Coward on 2008年03月11日 17時28分 (#1311225)
    すみませんタレ子ですが、「1777」ってアカウントでなくてemailの数でした。
    元blog記事 [codinghorror.com]のキャプチャ画像ちゃんとみてなかったのですが、
    よく見ると同一アカウントの情報が複数あります。

    #万一採用されることがございましたら修正いただくと幸いです。かしこ。
  • by Anonymous Coward on 2008年03月12日 14時53分 (#1311720)
    "ハードコーィング [nikkeibp.co.jp]" → "ハードコーィング [e-words.jp]" でしょうね…
  • by Anonymous Coward on 2008年03月12日 16時37分 (#1311789)
    gmail用ではないけどMozBackupは大丈夫だろうか?
    何も考えずに使ってるよ…
  • by Anonymous Coward on 2008年03月12日 17時02分 (#1311805)
    ソフトウエアを使用する上で同意した事になっている契約文書に、免責事項
    が書かれていれば、同義的にはともかく、アメリカの法律的にもこういう行
    為も免責されるんですかね。

    「このソフトウエアを使用した事によるいかなる被害についても、一切責任
    を負いません」と書いてあったら、本当に何の責任も取らなくていいんでしょ
    うか?
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...