ツイート数カウントくんのアクセストークン流出
2014年6月16日(月):一連の流れを訂正。
ツイート数カウントくん アクセストークン流出に関して
だそうです。本日のツイート数は何件とかいうアレ。
ツイート数カウントくんのトークンが盗まれたようです - Togetterまとめ
発覚した一連の流れはこちらですが、頭が悪いおいどんには何を言ってるのかよくわかりません。
たぶん、ツイート数カウントくんアプリ開発者のサーバからアクセストークンが流出し、ツイート数カウントくんを使っていた1000人程度のユーザのツイッターアカウントが第三者に操作され、1000人が共通してフォローしてた特定の一人(ここで出てくる@ntddkさん)をブロックした。ということなのかなーと。
いや、これ……1000アカウントを操作って相当な被害ですよね……
「Twitterのアカウントが乗っ取られた!パスワードが盗まれたんだ!」←違います - TEXT/YUBASCRIPT
アクセストークンとは何かというページ。
懸念事項として、連携しているツイッターアカウントを第三者に操作される恐れがありそう(フォローやブロック、ツイートなど)。
アプリ連携時にどの動作を許可するかというのが表示されるはずですが、ツイート数カウントくんが何を許可されてて何ができるのか、こっちは入れたことないのでわかりません。また、その許可設定とインストール済みのアプリが最大限実現できる操作というのもまた違うでしょうから、実際にはアプリ側の中身次第なのかなーと。すいませんが、やっぱりどんな操作が可能なのか、というところは開発者じゃないとよくわからんということになります。
一つだけ確かなのは、アクセストークンのそもそもの仕組みからして、連携アプリにパスワードは渡していないのでパスワードの心配は不要みたい。対応策としてはアプリ連携を辞めれば良さそう。また、パスワード変更も古いパスワードを求められますので、そこまで操作できるアプリではないと思いますが大丈夫でしょう。