アカウント名:
パスワード:
今回の手口はなんだかずさんな感じがします。リストアタックの全てのメールアドレスにパスワードリセットを行ってるんじゃないですかねぇ?(恐らくスクリプトでしょうけど。)パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。リセット用のメールの送信先も別デバイスのアドレスにもできますし。
#私の所は22日から3日で5回きましたが、全て放置。で、現在は治まっています。
> パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。
パスワードも忘れたうえで、登録しているメアドはすでに古いもので、新しいメアドの登録をしなおしていなかった、という場合もありますので、悪意あるものからすればパスワードリセットをしたのち、さらにメールが届かないから、という流れでの乗っ取りルートもあります。
その先として、Apple IDの「パスワードも忘れ、メアドも変えちゃってる」場合のルートは以前は脆弱すぎてそれはそれで話題に上がりましたが、今はどうなってるんでしょうね。
他サイトで「メールアドレス+住所氏名など個人情報一式」が漏れている場合には、それを使ってApple IDの完全乗っ取りができてしまう(というか、できないと同じ状況になった正当な利用者のアカウントのリカバリもできない)と思われます。
ただ、他コメでも触れていますがApple IDは、Appleに依頼して削除してもらっても、実はパスワードをテキトーに変えられてるだけでアカウントとして残ってしまっています。
このため、Apple IDを削除してもらったと思った利用者がメアドも変えていると、今回の悪意あるものの攻撃を、被害予備軍の人間は察知すらできないことになります。この場合にアカウントがリカバリされ被害がでたら、それはもはや100%Appleの責任でしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
今回の手口 (スコア:0)
今回の手口はなんだかずさんな感じがします。
リストアタックの全てのメールアドレスにパスワードリセットを行ってるんじゃないですかねぇ?
(恐らくスクリプトでしょうけど。)
パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。
リセット用のメールの送信先も別デバイスのアドレスにもできますし。
#私の所は22日から3日で5回きましたが、全て放置。で、現在は治まっています。
Re:今回の手口 (スコア:0)
> パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。
パスワードも忘れたうえで、登録しているメアドはすでに古いもので、
新しいメアドの登録をしなおしていなかった、
という場合もありますので、
悪意あるものからすれば
パスワードリセットをしたのち、さらにメールが届かないから、という流れでの乗っ取りルートもあります。
その先として、Apple IDの「パスワードも忘れ、メアドも変えちゃってる」場合のルートは
以前は脆弱すぎてそれはそれで話題に上がりましたが、
今はどうなってるんでしょうね。
他サイトで「メールアドレス+住所氏名など個人情報一式」が漏れている場合には、
それを使ってApple IDの完全乗っ取りができてしまう
(というか、できないと同じ状況になった正当な利用者のアカウントのリカバリもできない)と思われます。
ただ、他コメでも触れていますが
Apple IDは、Appleに依頼して削除してもらっても、実はパスワードをテキトーに変えられてるだけで
アカウントとして残ってしまっています。
このため、Apple IDを削除してもらったと思った利用者がメアドも変えていると、
今回の悪意あるものの攻撃を、被害予備軍の人間は察知すらできないことになります。
この場合にアカウントがリカバリされ被害がでたら、それはもはや100%Appleの責任でしょうね。