mixiではまちちゃん大発生

飛んだ先の日記にあるリンクをうっかり踏むとこんな内容のmixi日記が意図せずアップされてしまうというトラップ(?)。mixi新着日記で猛威をふるってる。

2005年04月19日 16:34

ぼくはまちちゃん!

こんにちはこんにちは!!

(URL省略)

TinyURLなんかを利用するといかようにも悪用できそうで、すぐ対策が取られるのは目に見えてるのだけど、こういう穴がSNSにぽっかり開いているというのはさすがに背筋に冷たいものが……。面白かったですけども。ちなみに調子に乗ってドカドカ踏むと、システムから「規定数」と言われて止められる。

追記1:16時50分過ぎ頃にmixi側が気付いて対策を取ったもよう。いきなり日記がアップされるようなことはなくなり、確認画面が出るようになった。12時から始まって17時までの5時間足らずで約2000 400人以上がひっかかったらしい。

あと関係ないけど「あわびが大漁で困っています」というスパムを思い出した。秀逸コピー。

追記2:mixi運営側に対策を施され機能しなくなったVer.2にとって代わり、4月20日24時半頃、Ver.3が稼動を開始。確認画面をすっとばしていきなり日記がアップされるように機能回復(?)しました。すごい 笑。というか作成(CSRF脆弱性? の指摘?)者のはまちやさんにいいように弄ばれるmixi情けない。

逆リンク!id:mohri:20050420#1113967566

トラップのタネが詳しく解説されています。

追記3:4月20日13時半頃、Ver.3に対しても対策が取られ、踏んでも「データがありません」となるようになった。「post_keyにmd5ハッシュを要求するようになってる」そうです。根本的な解決になったのかしらこれで。Ver.3の犠牲者(?)は恐らく1000人超でした。

追記4:逆リンク! id:rna:20050420#p1
根本的な対策になってないそうです……。Ver.4生まれるかな。

はまちちゃん関連で追加記事を書きました。
id:kowagari:20050420:1113968020
id:kowagari:20050422:1114198168

CSRF参考サイト
CSRF - クロスサイトリクエストフォージェリ - PHP
hoshikuzu | star_dust の書斎 CSRF - クロスサイトリクエストフォージェリ