Githubで謎の通知を受け取った話
挨拶
こんにちは、T4D4です。
今日GitHubで謎の通知を受け取ったので、その話について書きます。
何があったか
今日、休憩にコンビニへ行った時、スマホに次のようなメールが届いていました。
実際に受け取ったメールのスクリーンショット
これを見てなぜGitHubから?滅茶苦茶怪しくね?と思いながらも、色々とインターンに応募したりしていたので万が一を考慮して帰宅後にPCで確認することにしました。
帰宅後、Gmailでメールを確認すると、このメールはGitHubで受け取った通知の転送で、受け取った通知はメールと同じ内容のメンションでした。
結論から言えば、このメンションはScamでした。
Scamだと判断した根拠はいくつかあります。
まず、僕が受け取ったメンションは知らない人(メンションを送ってきた人との関係は不明)のレポジトリ内のissueに対するコメントでした。レポジトリ自体は個人でRubyなにかを作ってる(あまり深く確認していない)普通のレポジトリで、求人用のレポジトリとかではありませんでした。(これだけでも十分怪しいというか意味不明ですね)
次に、送り主のGitHubのアカウントはMSのOrganizationに所属しているなどのMS社の人間だとわかる要素がありませんでした。
そして、最後は少し弱いですが、メンション内の「click here.」のリンク先をプライベートブラウザで開くとJobs IndeedというGitHubアカウントの認証を求めるサイトに飛ばされました。そこで要求してくる権限を見ると、以下のようになっていました。
要求してきた権限
レポジトリの削除やRead-OnlyとはいえOrganization/Teamsへのアクセス、そしてユーザーのパーソナルデータへのフルアクセスと、滅茶苦茶要求してきますね。
まとめ
怪しい求人のメンションが来ましたがScamでした。年収$300,000欲しかったです
メンションを飛ばしてきたアカウントは一応通報しておきました。
今回は流石に怪しい要素がいくつもあったので気がつけましたが、今後手口が巧妙化したら気づけるかわからないです。
皆さんも気をつけてください。
とりあえず自分はGitHub連携をする時、今までは要求された権限を見ていなかったコトが多かったので今後は要求された権限をしっかりと確認してから認証することにします。
追記
似た話を前にみた気がしたので探したらありました。なんなら要求された権限同じでしたw
Discussion