ソーシャルログインは危険なのか?
今原神をやっていて、他サイトと連携してる方はパスワードを定期的に変える事をマジで強くお勧めします
・偽リンクを踏んでMiHoYoアカ情報が抜き取られる
・パスを変えても相手はログインのまま
・ゲームに入られると武器、アイテムなど破棄されます
乗っ取り自体は頻繁にあるみたいだが取り返せてるので注目されている
対策として、Twitter連携の解除が言及されているが、連携しているのがなぜ問題なのかが不明なまま広がっている
ように見えるasaka_s.icon
乗っ取りの順番
Twitter→MiHoYo
Twitterが乗っ取られたら普通にありえる
でもこれはどのサービスでも言われていることだし、周知はされているはず
今回の騒動とのポイントではないだろう
MiHoYo→Twitter
もしこの経路が存在した場合は、Twitterのセキュリティを万全にしてもMiHoYo垢にボロがあれば乗っ取られるので、連携が問題視されるのは納得できるtakker.icon
しかしこんな経路は本当にあるのk……あったわ。yanma.iconさんの件だ。
読書メータ→Twitterという経路で乗っ取られた
ぱっとその件は思い浮かびましたが、mihoyo垢を守る手段として挙げられてるのはおかしいですよねasaka_s.icon
確かに。筋が合いませんtakker.icon
が、問題なのは偽サイトでTwitterのパスワードを入れたからなのではないか?
結果、Twitterが乗っ取られ、連携していた原神アカウントにソーシャルログインして乗っ取られる
といったことが起こったと予想asaka_s.icon
もしくはMiHoYo垢のID/Passを取られた
ソーシャルログインのアクセストークンを偽サイトが手に入れたところで、Twitterに投稿することしかできない と思っているがあってる…?asaka_s.icon
権限の要求次第ではもうすこしできることは増えると思うがasaka_s.icon
原神(mihoyo)が2段階認証に対応していないので、Twitterで2段階認証しておくほうが安全だと思ったasaka_s.icon 2段階認証無いんだtakker.icon
Twitter側を万全にしていないのであれば連携解除は有効な手ではあるが、そんな人がMiHoYoを万全にできているかというと…2段階認証もないから…
ここまで考えてから気づいたが、TwitterのパスワードをTwitter以外のところに入れることがあるのだろうか…?asaka_s.icon
なにか見落としてる…?
Twitterのpasswordを入れる可能性のある箇所
Twitterそのもの
Twitterに扮した偽サイト
これですねtakker.icon
なるほど!たしかにこれはありますねasaka_s.icon
password manager
ついうっかりpasswordを掲示板に書き込んじゃった