ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。
ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。
OEPS! @FLOTUS haar privé mailadres lekt! Vriendelijk op gewezen (en meteen uitgenodigd in het wondermooie @Oilsjt) 🙂 pic.twitter.com/AQcvSRfdJp
— Inti De Ceukelaire (@intidc) May 24, 2017
昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。
必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。
ログインしてない状態で、「アカウントを忘れた場合」をクリックします
「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。
そうすると、合致したり似ているユーザーが出てくるので、
ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。
ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。
アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。
メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。
そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。
名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。
via HLN.be via TheNextWeb
