iTune Connetのハッキング(された)
- 2014/11/02 08:22
- カテゴリー:Apple関連
- タグ:#ituneconnect
えっとまさかと思ったんですけど自分がハッキングされました。
(自称ホワイトハッカーもだめですね。ToT)
AppleのDeveloper Programeへ参加してiPhone/iPadアプリ開発している人は注意したほうがいいです。
自分のアカウントはApple社がDeveloper Programをはじめた頃、(旧APDAから付き合い。APDAって言ってわかる人は相当古いよねw)に取得したアカウントなので、10年以上前から使っていてパスワードも何度か変更してきてました。
事の発端は先週の火曜日の夜中、iTune Connectにログインしようとしたらログインできない。すぐにパスワード変更更新をかけたらパスワード変更できたので、iTune Connectにログインできたので、速攻でパスワード変更。
とりあえず、iTune Connectの中で
・銀行口座登録内容
・登録アプリが移管されていないか確認
・アプリの説明文内容の確認
・新規ユーザー登録されていないか確認
して一応無事でした。
思い起こせば10月に入ってから登録したアプリの最終更新日が更新されているのがおかしいな~なんて思いつつ、気まぐれがAppleのシステム構築ミスか?なんて勝手に思っていたんですが、パスワード破れていたんですね。
どこからパスワードが流れたのかわかりませんけど、他のサービスで使用していないiTune Connectだけのパスワードを設定しました。(って根本的にパスワードを使いまわしていないつもりだったんですけど。)
最悪なのはiTune Connectのシステムです。Appleさんに至急対処してもらいたいんですけど、まあ開発者サイドの意見なんてスルーな会社ですから無理かな...必要最低限の機能がiTune Connectにはないんです。
セキュリティホールとして上げられる点は
・パスワードが破られて第三者にログイン後、iTune Connect内部でパスワード変更しても、登録メールアドレスに一切通達がない。すなわち自分の使っているパソコンでiTune Connectへログイン中に誰かが勝手にパスワード変更しても、一切その履歴なるものが見れない。
・ログイン履歴が一切表示されない。(どこかで見れるのか探したんですけど。)
この辺りのセキュリティに関しては、昔からDeveloper Programは弱いの気がしてます。
大掛かりなシステム更新を数年に一度やるぐらいならばこの辺の強化をすべきだと思いますけどねー。
そんなわけで、iPhone開発を行っている方々、以下私からの注意事項です。
・パスワードは他で使用しているもの、似たようなものは使わない事。(当たり前ですね。反省)
・パスワードは可能な限り長めにしましょう。
・iTune Connectに登録している他のユーザで、不必要なユーザは削除しましょう。(テストユーザは大丈夫だと思います。ちなみにパスワード変更した次の日、登録済みのアプリの更新日が3本ほど更新されていました。登録してあった他のアカウントでログインされてようです。必要なアカウントのパスワードをすべて変更し、使用していないアカウントを削除後、4日経過しましたがアプリの更新日が変わることはありませんでした。現在のアプリの更新日はアプリ一覧をリスト表示すると確認することができます。自分でアプリの説明文を変更した記憶がないのに更新日が変わっていたら、速攻パスワード変更してください。)
思うに、最近AppleさんのサービスのiCloudがハッキングされて海外の女優のプライベート写真が流失したなんて話がありましたが、Appleさんは「ハッキングはされていない」とのコメントでした。これは、単に正常ログインしかないって言っているだけで、他のサービスと同じID&パスワードを使っている人がやられたって事の理解が正しいかと思います。
最近のシステムはIDはメールアドレスってのが常識になっているのが問題ってことです。どこかのサービスが破られればその情報を元に他のサービスへアタックすれば乗っ取りは簡単にできてしまいます。
今回の件で、一応この記事読んでくれた方、AppleのApp Store、amazon、楽天、Yahooは、メールアドレス+パスワードなので、すべて個別のパスワードつけておいたほうが安全です。特にカード情報登録している人は気おつけてください。
※近々パスワード管理アプリを作ろうと心に決めました。w