kanenomoujadebuu

最近一部の人が乗っ取られる事態が起きています(これ関連のトピックもうあったらすいません)
一部の乗っ取られた人はオタク祭とか言うわけのわからないプロジェクトを勝手に出されて私についてがwe are anonimasuになり
私が取り組んでいることがhacked by alpha teamになっているのですがAnonymousではなくanonimasuとなっていることから
偽物であると思いますそして犯人は個人的には日本人だと思います理由に関してはローマ字を使っているところや日本語で話したりしているからです
あと乗っ取られた垢で「眼前に、オクトタートルの巨体が迫る。 大地を奮わせ、マグマをまき散らしながら。 しかし俺は冷静にオクトタートルを視界に捕らえ、呟く。 「耐性変更 即死有効」」などのスパムコメントを書いていました以上です情報量が少なくてすいません

konabanana228

私のフォロワーにも乗っ取られている人がいます
例のオタク祭です↓
https://scratch.mit.edu/projects/709257383/

https://scratch.mit.edu/projects/709257150/

azusa0850

アイコンが怖いよね・・・

azusa0850

そのうち自分が乗っ取られそうです・・・
やっている人はどう思ってやってるんですかね。
また、どのような人が乗っ取られるんですかね?

omochi474

多分100人以上乗っ取られてるんじゃないですかね。探せば大量に見つかりますし。

kanenomoujadebuu

azusa0850 wrote:

そのうち自分が乗っ取られそうです・・・
やっている人はどう思ってやってるんですかね。
また、どのような人が乗っ取られるんですかね?
基本的にパスワードが簡単な人ですね簡単とか関係ない場合傾向の人が全員乗っ取られるとか全然あるので

Gyoku-Syo-

(初めてディスカッションフォーラムを使うので少々ミスがあるかもしれません。許してね)
これは不確定な情報ですが、コメント速度や乗っ取りの量を見るに、これらは手動ではなくScratch APIを利用してのものと考えられます。
Scratch APIは簡単に説明すると「Scratchのサイト上での作業を(ほとんど)全て追記:どうやらログイン自体はpostを使っている様です。無知を晒してしまい申し訳ない…コード上で実行できる様にする便利ツール」であり、
それは即ち乗っ取りの際に外部のパスワードクラッキングツールを利用できる様になってしまうと言う事です。
まだScratch APIが原因だとはっきり判明した訳ではないですが、可能性の内の一つとして考察お願い致します。

mugentairyoku

例のやつ(コメント)がいっぱい来てました。作品を非共有にし、再度共有化すると例のやつは消えました。とりあえずはそれで対策になるかなと
あと不確定です。太文字の方法知らないからわかりにくくてごめんなさい

abee

さきほど、「お知らせ・ニュース」に書いたことを再掲します。

abee wrote:

昨日(2022/6/26)に発生した大規模なアカウントの乗っ取りとそれを踏み台にしたスパム送信について、基本的な対応はコミュニティーガイドラインに書いてある通り、「不適切なものに反応せず」無言で「報告」です。Scratch Teamは今回の状況をすでに知っているので、時間はかかるかもしれませんが対処されると思います。反応しても相手を喜ばせるだけです。

個人ですぐにやったほうがよいことは、パスワードの変更です。
長くすればよいと言っている人もいますが、単に長くするだけではだめで、アルファベット、数字、記号などをランダムに組み合わせた意味のないものにする必要があります。そうしないと、単語を使った辞書攻撃という手法で突破されます。アカウント名やそのほかの情報から推測できるものもだめです。
これは、今回被害にあった人だけでなく、すべての人が行うことで今後このようなことが起こらないようにできます。「自分は大丈夫」ということはありません

また、利用規約2.2にあるように、アカウントの管理義務はそれぞれの人にあり、乗っ取られて何かされたとしてもそこで行われたことの責任は元のユーザーが取る必要があります。家族以外でアカウントを共有したり、アカウントの貸し借りを行った場合も同じです。

サインインもできなくなった場合は、パスワードのリセットを行うことができます。これは、登録したメールアドレスを使うので、適当なメールアドレスではなく、ちゃんと届くアドレスにしておく必要があります(16歳未満の場合は保護者のアドレス)

この件についての、質問、意見などは「最近の乗っ取り被害について」でお願いします。

-_Honey-FX_-

Gyoku-Syo- wrote:

(初めてディスカッションフォーラムを使うので少々ミスがあるかもしれません。許してね)
これは不確定な情報ですが、コメント速度や乗っ取りの量を見るに、これらは手動ではなくScratch APIを利用してのものと考えられます。
Scratch APIは簡単に説明すると「Scratchのサイト上での作業を(ほとんど)全てコード上で実行できる様にする便利ツール」であり、
それは即ち乗っ取りの際に外部のパスワードクラッキングツールを利用できる様になってしまうと言う事です。
まだScratch APIが原因だとはっきり判明した訳ではないですが、可能性の内の一つとして考察お願い致します。
APIはScratchのサイト上の作業をほとんど実行できる物ではありません。スターを押せたり、フォロワーの数を取得したりなどユーザー、プロジェクトの情報を取得できるだけです。そもそもAPI自体APIを使用してログインアクセスできないように設計されています。(これはAPIの解釈が間違っているため、投稿しています。)

Gyoku-Syo-

-_Honey-FX_- wrote:

Gyoku-Syo- wrote:

(初めてディスカッションフォーラムを使うので少々ミスがあるかもしれません。許してね)
これは不確定な情報ですが、コメント速度や乗っ取りの量を見るに、これらは手動ではなくScratch APIを利用してのものと考えられます。
Scratch APIは簡単に説明すると「Scratchのサイト上での作業を(ほとんど)全てコード上で実行できる様にする便利ツール」であり、
それは即ち乗っ取りの際に外部のパスワードクラッキングツールを利用できる様になってしまうと言う事です。
まだScratch APIが原因だとはっきり判明した訳ではないですが、可能性の内の一つとして考察お願い致します。
APIはScratchのサイト上の作業をほとんど実行できる物ではありません。スターを押せたり、フォロワーの数を取得したりなどユーザー、プロジェクトの情報を取得できるだけです。そもそもAPI自体APIを使用してログインアクセスできないように設計されています。(これはAPIの解釈が間違っているため、投稿しています。)
https://github.com/trumank/scratch-api#readme こちらのAPIを利用したツールのdocsとかリファレンスを見るにログインしてコメントする事は可能とは思われます
パスワードをクラックする事自体はログイン処理がコード上で行えればいいので十分色々できるとは思いますけども…

yukkuriNOU

この騒動に便乗して呼びかけプロジェクトを作っている方がいらっしゃるんですが、皆さんはどう思いますか?

konabanana228

yukkuriNOU wrote:

この騒動に便乗して呼びかけプロジェクトを作っている方がいらっしゃるんですが、皆さんはどう思いますか?
個人的には良い判断だと思います

yukkuriNOU

konabanana228 wrote:

yukkuriNOU wrote:

この騒動に便乗して呼びかけプロジェクトを作っている方がいらっしゃるんですが、皆さんはどう思いますか?
個人的には良い判断だと思います

人によっては「騒いでも何も変わらない、報告乱用の件で学ばなかったのか」というような意見もあるようです。まあこれを返信する意味があるのかって感じですが。

seibutetudou_daisuki

偽アノニマスに気を付けてください。
多分、アカウントがハッキングされ、何もできなくなり、アノニマスの画像にされます。

絶対に会わないように気をつけましょう!!

yukkuriNOU

ふと思ったんですけどずっとログインしたままだとどうなるのですかね?

kanenomoujadebuu

yukkuriNOU wrote:

ふと思ったんですけどずっとログインしたままだとどうなるのですかね?
ログインしたままだと誰かがそのアカウントに入った瞬間判定が変わりあなたはアカウントを使っている状態じゃなくなりますなので
何かをコーディングしてると気づかない場合があります

abee

サインインは後から行った側が有効なので、パスワードがばれた場合は、サインインしたままであったとしても、後の人に使われてしまいます。

abee

#13
「不適切なものに反応せず」に反していると思います。では、このトピックはどうかですが、過去の例から見て、色々なところで不正確な情報を拡散されるよりも、一箇所で対応して正しい方法を説明した方が有効と分かってきました。

yukkuriNOU

kanenomoujadebuu wrote:

yukkuriNOU wrote:

ふと思ったんですけどずっとログインしたままだとどうなるのですかね?
ログインしたままだと誰かがそのアカウントに入った瞬間判定が変わりあなたはアカウントを使っている状態じゃなくなりますなので
何かをコーディングしてると気づかない場合があります

abee wrote:

サインインは後から行った側が有効なので、パスワードがばれた場合は、サインインしたままであったとしても、後の人に使われてしまいます。

なるほど…。ありがとうございます。