Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

写真投稿サービス「TwitPic」に偽装したサービスが発生 - アプリ連携認証に注意を

Twitterと連携する写真投稿サービス「TwitPic」を偽装した不審サービスがインターネット上で話題になっている。

問題のサービスは「Picture Twitpic」と名乗るサービスで、写真と見せかける短縮URLをツイートで拡散している。短縮URLをクリックすると、TwitPicのサーバではなく、レンタルサーバを利用したIPアドレスベースのURLを経由してTwitterにリダイレクトされ、連携アプリとしてアカウントを利用することについて許可が求められる。

アプリ認証ページでは、アプリの名称を「Picture Twitpic」と名乗っており、URLやアイコンを「TwitPic」に偽装したものを使用していた。

誤って許可すると、連携アプリの認証サイトへ誘導するツイートを許可なく行うほか、ユーザーの許可なくプロフィールを更新されたり、フォローなど行われるおそれがある。

今回の問題について、本家サービスのTwitpicによるアナウンスなどは行われていないが、問題に気が付いたユーザーによるツイートが広がっており、まとめサイトなどで情報の集約なども行われている。

(Security NEXT - 2012/03/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

YouTuberの広告審査や素行を監視するサービス - イー・ガーディアン
闇市場に「フェイクニュース」作成拡散サービス - 「いいね!」1000件が約2円から
子どもの4人に1人がSNSでトラブル - 不正ログインや架空請求も
InterFMに不正アクセス、リスナーの個人情報が流出 - Twitter上への投稿で判明
「WordPress」向けBestWebSoft製プラグイン51種にXSSの脆弱性
KDDIを装う「緊急速報」メールに注意 - auが呼びかけ
ぴあ受託サイトでクレカ情報流出、630万円の不正使用 - 「Struts 2」脆弱性が原因で
研究者のTwitterアカウントなどが乗っ取り被害 - PW使い回しが原因か
フィッシング対策協議会、サイト改ざんについて中間報告 - 原因特定できず
ランサムウェア「Petya」の復号化キー作成ツールが公開