Twitterクラッキング経緯
Twitterの@masui アカウントがクラックされた (2017/4/8 0:10ごろ)
Gyazoの増井俊之.iconのアカウントも侵入された
Gyazoに貼ってたクレカ番号などを晒された
クラックされたのはTwitterアカウントとGyazoアカウントのみ
時系列
4/8 0:00
110.147.140.37 - - [08/Apr/2017:00:00:14 +0900] "GET /masui@pitecan.com/Amazon123456 HTTP/1.1" 200 121669 "http://episopass.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
犯人のツイート
Gyazoは俺のものになった、みたいなもの
4/8 0:10ごろ
https://gyazo.com/535f111eae77ea396ef6f2cbed029c3e
増井俊之.icon クレカを晒された
Gyazoに貼ってあったため
Gyazoログインされた
はほとんど昔と同じ状況になっているが 増井俊之.icon がログインはできない 2017/04/08 17:48:33 対策 2017/4/8 朝
生きてる増井俊之.iconアカウントのパスワードをすべて変更 (by 増井俊之.icon)
FB, Google, GitHub, 各種サーバ, etc.
幸いなことにほとんど無事
念のためパスワードを変更
増井俊之.icon のGyazoアカウントを凍結 (by Nota Inc.)
クレカ停止
考察
Gyazoには一発でログインされた(!)
簡単な使い回しパスワードを使ってたためか? 増井俊之.icon
このパスワードはどこかで流出してた可能性は充分ある
疑わしいIPからEpisoPassへのアクセスは一度だけ
Amazonのパスワードを取得しようとしたようだがAmazonアカウントはクラックされていない
EpisoPassからパスワードが漏れた可能性は少ないのではないか 増井俊之.icon
希望的観測だけど
JSでローカルに動くので、他のサイトも試された可能性はある
FacebookパスワードなどもEpisoPass管理だがクラッキングはされていない
まだ成功してなかっただけかもしれない
Twitterのパスワードは漏れてしまった可能性がある
メアドまで変更されてしまっているためそういう心配がある
パスワード知らなくても乗っ取りできるのかもしれない
どうやら @masui を @masui1234567 にリネームして
自分のアカウントを @masui にリネームしたということのようですね
リネーム前にパスワードは必要らしい
やっぱり増井俊之.iconがパスワードをGyazoってたのだろうか?
だとするとGyazoログインの方がTwitterログインより早いはずなのだが
Twitterパスワードをどこかに書いてる可能性は低いのだが... 増井俊之.icon
Twitterパスワードがわかった場合、ブルートフォースでEpisoPass計算をすればすべてのパスワードがわかってしまう