Life hack.

2017/05/12

Instagramが盗難され戻ってくるまでの2ヶ月間

ずいぶんと時間がたちましたが、やはりinstagramサポートをヒューマンハックすることで乗っ取りが可能のようです。これではどんなアカウントでも盗むことが可能ということをお伝えしなければなりません。

今回をまとめておくと

  1. パスワードはinstagramだけで利用しているもの
  2. メールアドレスは非公開のアドレス
  3. アプリケーション連携はすべてオフになっている
  4. SMS認証は設定している。

というそれなりに強固な状態にもかかわらず、大量のパスワードリセットの通知を受け取り、およそ3ヶ月で乗っ取りを許してしまいました。いや、許したのはインドネシア語サポートで、乗っ取り犯はサウジアラビアです。電話番号、顔写真もしっかり残ってましたし、乗っ取りからしばらく自信満々につかってましたからね。

乗っ取り方法は
「使えなくなった」としてパスワード再発行を大量に押しながらサポートへアクセスできなくなったというメールを送ります。さらにこのメールアドレスが使えなくなったんだといったメールをサポートに送り、本人確認をすり抜けると登録外のメールアドレスにリセットURL発行してもらえるという仕組みです。
本来乗っ取られた場合に再発行するURLのようで機械的なメールしかきませんが、サポートの同情を買うと本来送るはずのない第三者へこのURLを発行してしまうというヒューマンエラーです。
これにより有名アカウントであっても乗っ取りが可能ということになります。もしかすると、マーク付きの認証アカウントなら簡単には乗っ取れないかもしれませんがね。


また復旧に使われるこのURLは非常にザルで、パスワードを再更新しメールなども自由に変えることが可能になります。 また面白いのが、メールアドレス変更をすると盗難が登録してたアドレスへ確認メールが届き拒否することができる仕組みです。これによって取り戻せない事態が起きたり、なぜか偽物が二段階認証電話番号を設定されてより強固になったりを繰り返しました。


さらに厄介なのは、取り戻した後に「ログインできなくて迷惑かけます」というメールが持ち主にも届いたりして混乱します。このメールに「いえいえ大丈夫とログインします」をクリックしないと、また盗難者へ移ることになります。

そんなこんなを繰り返し、ようやくアカウントは戻ったものの7年間の写真やフォロワーは全て失っており、しまいにゃアラビア語で購入されたフォロワーが3000人ほどあって、見たくもない写真しかないという完全に別な世界。
いまだにサポートへ「元どおりに戻して」とお願いしている状態。

乗っ取り(または購入)犯人のk.ハリドくん。複数のアドレスを自慢げにアップしてました

はたして3月の状態まで戻るのだろうか。
起動チェックして盗まれてないかは確認しながら、サポートにメールをくりかえし、フォロワーを解除してるけどもアラビア語で写真もひどく、なんのためのInstagramなのか全くわからない自己承認欲求に巻き込まれた格好です。

わけわからないいいねによってノイズが多く、写真も「2000フォローを売るよ」とか1000いいねを売るよとか、わけ話のわからん写真や画像がタイムラインに並び続けてます。
これじゃinstagramのコンセプトにある切り取りじゃなくなってるよなぁと。
日本も実はこんな感じだったりするのかなぁ。