Gmailバックアップソフトからアカウント情報が抜かれている 70
ストーリー by nabeshin
サブツール選びは慎重に 部門より
サブツール選びは慎重に 部門より
Gmailアカウント×20 曰く、
Google Maniacsの記事「【らめぇ】ログイン情報を盗む極悪Gmail用ツール(しかも有償)の存在が発覚」によると、Gmailバックアップ用シェアウェア($29.95)のG-Archiverというソフトにおいて、ユーザーのアカウントとパスワードをプログラム作成者に送信する機能が隠されていたそうだ。ソースはGuardianの記事「Coding Horror — G-Archiver gathers Gmail names and passwords」、また大元の情報はCoding Horrorのblog記事「A Question of Programming Ethics」。記事によると、G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーディングされているのに気づき、そのアカウントにログインしてみたところ、1777個のGmailアカウント情報がそのアカウント宛メールとして受信されているのを発見したとのこと。
そもそもなぜ専用ソフトを探した? (スコア:2, 興味深い)
GmailのバックアップならメーラーでPOPかIMAPでサーバーにアクセスして
全ダウンロードすればいいような気がするのですが………何か特殊な機能があったんですかね?
Re:そもそもなぜ専用ソフトを探した? (スコア:2, 興味深い)
やり方をぐぐる→よくわからない→専用ソフトが見つかる→使う→噯呀ー!
Re:そもそもなぜ専用ソフトを探した? (スコア:1, 興味深い)
ハードコーディングを見破る能力のある「一般ユーザ」だったという不思議。
Re:そもそもなぜ専用ソフトを探した? (スコア:1)
…ってことは、くだんのソフトはhttpsじゃなくてhttpでアクセスしてたんでしょうか?ツメが甘いような…
こっちはどうなの? (スコア:1, すばらしい洞察)
他人のアカウントとパスワードで勝手にログインしてるってことだよね?
Re:こっちはどうなの? (スコア:3, 興味深い)
ハードコーディングされていて、しかも新しいアカウント情報をG-Archiverに追加するたびに
そのユーザー名とパスワードをメールで送っているのに気づいたので、心配になって
ハードコードされた作者のアカウントにログインしてみた、とあります。
確かに自分のアカウント情報が勝手にメールで送信されていたら誰でも心配になりますが、
この場合他人のアカウント情報まで見てしまうことになるので、個人的には作者のアカウントで
勝手にログインするよりも、Googleに連絡して作者のアカウントをロックしてもらうとか、
他にするべきことがあったのではないかと思います。
Re:こっちはどうなの? (スコア:2, すばらしい洞察)
(この件じゃないけど)犯人も逃げちゃうのでは?
悪いのをとっつかまえる方が完璧に潔白でなければならないという変な考えが進化して
被害者無視の加害者保護になってるんじゃないの?
Re:こっちはどうなの? (スコア:1, すばらしい洞察)
でも。
「無罪の推定」を原則とする方を支持したいので推定有罪は懲罰を原則というのはイデオロギー的に従いたくないw
#男性でしたら「痴漢」「それでも僕は」で検索して、「女性に訴えられたら反論できない」という人以外なら語りあいたい。
Re:こっちはどうなの? (スコア:1, 参考になる)
見ると、Googleに連絡してもいるようですが、キャプチャ取っただけじゃなくてメール全消しパスワード変更秘密の質問変更までしてるみたいですね。ちょっとやり過ぎな感じが。
Re:こっちはどうなの? (スコア:1)
Re:こっちはどうなの? (スコア:1)
ただし、メールを削除しなければ被害者(の少なくとも一部)には効果的に連絡するチャンスが
あったのに、それを潰してしまったとすれば残念だ。Gmail のシステム側にバックアップが
残っていれば問題ないけど。
Re:こっちはどうなの? (スコア:1, 興味深い)
Re:こっちはどうなの? (スコア:2, 興味深い)
節穴の目でGmailの利用規約を読んでみましたが該当する項目はなさそうです。
近いところでは、アカウント・パスワードは自分で管理してね、と書いてあるくらいでしょうか。
ので、処置を食らうとしたらプログラムの作成者の方かと。
他の人のアドレスが見えちゃったのは「ログインしてみた」人の罪にはならないかと。
ただの結果ですし。
利用規約に書いてなくとも (スコア:2, 参考になる)
> 不正アクセス行為の具体的な例
> ・インターネットを通じて、ブラウザで認証用のページから他人のユーザー名とパスワードを勝手に使ってログインする行為。
#外国はしりませんが。
Re:利用規約に書いてなくとも (スコア:2, 興味深い)
あるアカウントが誰のものかというのは、実は微妙な問題ではないでしょうか。
そのアカウントを最初に取得した人と考えればよいのでしょうか?
私がつかってる「.mac」のメールアカウントを、ある人が自分のものだと信じているようで、その人はどうやら単に自分がパスワードを忘れたんだと思ってるらしく、なんどもパスワード変更をしようとトライしているのです(「パスワードを本当に変更しますか? 」というシステムからの確認メールがしょっちゅうくる)。
その人は、知人などにそのアドレスを教えているらしく、その人あてのメールもよく来ます。
もしその人が偶然ログインに成功してしまったり、「パスワードを本当に変更しますか? 」という確認メールに私がうっかりOKしてしまったら、その人には悪意がなくてもアカウントがのっとられてしまうのだと思うと怖いです...
いやもちろん「.mac」の場合ならAppleが情報提供すれば最初にアカウントを取得したのが誰なのかはっきりしますが、もし無料のサービスなどで、個人情報をほとんど入力せずに(もしくは偽りの個人情報を入力して)取得したアカウントの場合、話は微妙になってくるような。
Re:利用規約に書いてなくとも (スコア:1)
>当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
この場合は「当該識別符号に係る利用権者の承諾を得て」に該当するかもしれない。しないかもしれない。
例だけで判断するのは危険ですね。
Re: (スコア:0)
いくら何でも、前提も何も無くそんな風に断言できるほどの判例は無いと思う。
ログインしてみたという動機が、そのソフトを購入して(購入していなくても)
使う事を選んだ理由、つまりそのソフトに求めた挙動、ユーザーが理解している挙動、
とは全く異なる挙動をしている事に気がついた事に端を発するんだよね。
その時、アカウントが実在するのか、現在も生きているのか確認してみる、
本当に他人の情報が送られているのかどうか、それもログインしてみる、
程度までは止むを得ないと判断されるんじゃないかな、
少なくとも訴えようとする人が出てこないだろう。
Re: (スコア:0)
被害者かもしれないからといって、違法行為を行って良い事にはならない。
Re: (スコア:0)
無知をさらけ出してしまった。
#スコアがつくのもなんなんでACで失礼
Re: (スコア:0)
・電子計算機の利用を管理する管理者(アクセス管理者)や、その管理者からアクセスを許諾されている人は、不正アクセス行為の主体とはならない。
社外のアカウントであれば、規約違反となる可能性はあると思いますけど。
Re: (スコア:0)
「プログラムが勝手にログインしてました!」も
「なんか書いてあったからログインしてみた!」も
利用規約に(多分)書いてあることに違反している意味では、いっしょなんじゃね?
Re: (スコア:0)
受け取った荷物の中に住所を書いたメモと鍵が入っていれば、
入ってくれと明言されてなくても誘われたと認識する事には妥当性がある様に思う。
Re:こっちはどうなの? (スコア:1)
誘われたと認識するのは無理がある気がする。
Re: (スコア:0)
ハードコーディングされていなかったら(単純なダンプでは分からないようにコーディングされていたら)
分からなかったということだよね?
さてそれで (スコア:1)
Re:さてそれで (スコア:3, 参考になる)
「デバッグで使ってたんだけど、消すの忘れちゃってた。ごめんなさい」
だそうです。
Re:さてそれで (スコア:1)
◆IZUMI162i6 [mailto]
Re:さてそれで (スコア:1)
Re:さてそれで (スコア:1, すばらしい洞察)
自分のメールアドレスには、G-Archiverからのメールがバンバン送られているのだから、
デバッグコードが残っていると言うことは、直ぐに気付くでしょう。
意図的にやっていたとしか思えん...
Re:さてそれで (スコア:1)
デバッグに使ってそのあとそのアカウントは放置してただけ、という見方もできますよ。
Re:さてそれで (スコア:2, すばらしい洞察)
Re: (スコア:0)
Re:さてそれで (スコア:3, 参考になる)
たぶんほとんどの人は自分のID・パスワードを作者に
送るよって書いてあっても、OKしますよ。
これはひどい…が (スコア:0)
他人のユーザー情報を自分のアカウントに送りつけるだけならパスワードはいらないだろうに。
Re:これはひどい…が (スコア:5, すばらしい洞察)
自分のアカウントにログインして自分宛にメール送れば、盗もうとするアカウントにはログが残らない。
Re: (スコア:0)
Re: (スコア:0)
単純に投げるだけで問題無いはずだよねぇ~
まぁ間抜けだから発覚したって事で...
Re:これはひどい…が (スコア:2, 興味深い)
Gmailに対する処理以外のパケットが流れれば、それに気づく人もいるだろう。
しかし、Gmailを使って送れば、アクセス先はGmailだけであり、気づく可能性は低い。
Gmailに対して、利用者のアカウントとパスワードが含まれたパケットが送られても、それはログインの為にも必要な行為であり、疑問に思われないだろう。
Re: (スコア:0)
最低でも以下の手順にしないとダメでしょう。
1.アカウントとパスワードは暗号化する
2.別アカウントに送信する
3.別アカウントからさらに別にアカウントに転送する
4.別アカウントはGmail以外である
Re:これはひどい…が (スコア:2)
今回は,Gmailに使うアプリケーションがGmailに対して通信していたからこそ,
ソースレベルまで解析しないとわからなかったのではないかと思います。
タレコミ訂正 (スコア:0)
元blog記事 [codinghorror.com]のキャプチャ画像ちゃんとみてなかったのですが、
よく見ると同一アカウントの情報が複数あります。
#万一採用されることがございましたら修正いただくと幸いです。かしこ。
Re:タレコミ訂正 (スコア:1, おもしろおかしい)
何故に表面処理? (スコア:0)
Re:何故に表面処理? (スコア:1)
Re: (スコア:0)
http://srad.jp/articles/05/07/03/1010255.shtml [srad.jp]
が関連に無い気がする
Re: (スコア:0)
京都府警、原田ウイルス亜種の作成者を逮捕
http://srad.jp/security/article.pl?sid=08/01/24/0539240 [srad.jp]
ガクガクブルブル(AA略) (スコア:0)
何も考えずに使ってるよ…
「このソフトは無保証です」と書いてあったら (スコア:0)
が書かれていれば、同義的にはともかく、アメリカの法律的にもこういう行
為も免責されるんですかね。
「このソフトウエアを使用した事によるいかなる被害についても、一切責任
を負いません」と書いてあったら、本当に何の責任も取らなくていいんでしょ
うか?
Re:「このソフトは無保証です」と書いてあったら (スコア:1)
Re: (スコア:0)
コナン's ヒント:精神鑑定、特殊な国籍、無資力者
次週をお楽しみに!