ピクスクのパスワードは平文でなく20分で解析される「ソルトなしMD5」で保存されていた、個人情報はリークサイトで販売される ピクスクのパスワードは平文でなく20分で解析される「ソルトなしMD5」で保存されていた、個人情報はリークサイトで販売される 更新日:2023年08月16日 ringoさん VIEW ピクスクのパスワードは平文でなく20分で解析される「ソルトなしMD5」で保存されていた、個人情報はリークサイトで販売される 【弊社サービスにおける重要なセキュリティ情報とお詫び】弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。…— pictBLand@BL特化SNS (@pictBLand) August 15, 2023 抜いたヤツ、情報を売りに出してますね(約9万円)。抜かれたパスワードは、ソルトなしMD5とのこと。半分は抜いたヤツが平文にしてる模様。抜いたヤツ、このSNSの特性(オタク向け)を把握してるようで、PixivやTwitterでも同じIDパスワード使いまわしてるんじゃね?(意訳)とも書いてました。 https://t.co/GDLPe0vuO2— wakatono, Ph.D.(JK) (@wakatono) August 15, 2023 pictBLandさんには、URLも含めて情報送付完了。— wakatono, Ph.D.(JK) (@wakatono) August 15, 2023 pictSquareのデータベースに不正アクセスが行われ、3時間ほど前にリークサイトに公開されました。登録ユーザーは、パスワードの使い回しが狙われております。至急パスワードの変更をして下さい。… pic.twitter.com/dS9NEqyAAR— 二本松哲也 ♢ qualias.eth (@t_nihonmatsu) August 15, 2023 MD5だと現実的な計算時間で平文の復元は可能だし、更にソルトなしなら逆引き辞書も使えてしまうからありがちなパスワードの場合、その「現実的な計算時間」すら不要。つまり「平文が漏れた」と考えて良い状況だなあ、これは https://t.co/RqqWgovni3— KIMATA RobertHisasi (@robert_KIMATA) August 15, 2023 「すっごい古いシステムでソルトなしMD5が使われ続けていた」とかではなく「2020年にソルトなしMD5を採用した」となると、「セキュリティ担当者どころか、セキュリティの基礎知識のあるアプリ開発者すら存在しない」レベルの開発体制かと思われるのですが…………— noon🐥 (@noonworks) August 15, 2023 ソルトなしMD5はちょっとアレだけど、仮にソルトがあったとしてもパスワードが短ければ元のパスワードはすぐに割り出せるから、別にハッシュ化してたからとして平文パスワードが完全に流出しないわけではないDB暗号化やシークレットソルトはそれはそれで別の話になる— エヲカクシグ (@meliasig) August 15, 2023 ピク…ラの漏洩、どうもパスワード平文じゃなかったみたいなのでツイート削除しましたがソルトなしでMD5らしくて…さもありなんって感じ😩ソルトなしは百歩譲って目をつぶれてもMD5はダメだ…🥺つまりメールアドレスとパスワードの組合せが同一のものは変えた方が安全というのは変わらないです— しの🇦🇷🇯🇵 (@85niwa_wj) August 15, 2023 パスワードのハッシュ化済みにソルトなしMD5使うのがアホアホのバカなのはそうだけど、「MD5はすぐ復号される暗号化方式」はさすがに嘘じゃんねまず暗号化方式じゃない(ハッシュ化と暗号化は違う)し、突破されてるのは強衝突耐性だから任意のハッシュの復号が容易に可能なわけではない— noon🐥 (@noonworks) August 15, 2023 こちらのブログからも呼びかけたいと思います。pictBLand公式のアナウンスにある通り 対応策として、他サービスで同じパスワードを使用されている場合、パスワード変更が必要です。 pictSquareのデータベースに不正アクセスされリークサイトに公開、至急パスワードの変更をhttps://t.co/wVieWLx97u— 二本松哲也 ♢ qualias.eth (@t_nihonmatsu) August 15, 2023 今時平文で保存とかあり得るんか?と思ってたが、ソルトなしハッシュか。それだとありえなくもないか… https://t.co/9KH4nuIniU— t_yano (@t_yano) August 16, 2023 「ソルトなしMD5」って何だ?という人向けにやさしく解説。パスワードみたいな秘匿情報をデータベース(DB)に保存する際には、DBの中身を盗まれないようにするだけでは不十分です。盗まれても問題ないよう対策を打ちます。その手法が・暗号化(ハッシュ化)・SALT(ソルト)追加>>>続く https://t.co/D5Kc29BcKq pic.twitter.com/q0QGhkeOGO— Kentaro / 毎日🧑💻 (@kenny_J_7) August 16, 2023 ソルトなしMD5ハッシュでパスワードを保存していたことが話題で、「考えられない」とのコメントも多数ありますが、現状「大いに有り得る」が正しい問題認識です。MD5ハッシュをGPUで総当り計算すると、8文字英数字が20分で計算できることは以下の動画で解説していますhttps://t.co/YHzJqxY6D1— 徳丸 浩 (@ockeghem) August 16, 2023 リークサイトにまで載ってるって……住所・氏名・電話番号・メールアドレス・アカウントID・パスワード・口座情報でしょ?結構ヤバめの事例だと思うんだけど。某ベネ○セさんとか、ニュースになってましたやん。規模が違うかもしれないけど、抜かれてる内容そんなに変わらないんじゃない…?— かなえ (@Kanae_9qu) August 16, 2023 ピクスク・ピクブラの件で情報収集されている方は、ネット上の情報リークサイトや流出検証サイトにはむやみにアクセスしないようにしてください!検証サイトが安全かどうかを判断するのは難しいです。詐欺サイトや危険なサイトかどうか判断できる自身のない方は絶対にアクセスしないでください。— やすこ@蒲田くん (@sawayama_yasuko) August 16, 2023 今回の件、クレカ番号やリアルアドレス流出なんかはよくあることなのであんま対応変わらんけど、リークサイトと思われるスクショにはニックネーム(おそらくハンドルネームと思われる)が紐づけられているぽいので、そこが致命的な人もおるやろな…ってなる。— うのべあき (@unobeaki) August 16, 2023 WordPressは元々ソルトなしMD5ハッシュでパスワードを保存していたものを、Ver 2.5(2008年3月)からBlowfishに変更されたようです。DB上でMD5でパスワードを保存すると、ログイン時に最新の方式に再ハッシュすることは、パスワードリセットの簡便法としてWordPress管理者にはよく知られています。— 徳丸 浩 (@ockeghem) August 16, 2023 パスワード平文で保存みたいなツイを昨日見かけていや流石にそれはやって無いだろとは思ってたけど、ソルトなしMD5かあ〜〜〜 https://t.co/oB2YUkN74q— Yue 🐱今日の近侍📍立てた? (@PreussenLover) August 16, 2023 どうせソルトなしMD5ハッシュが20分で解読されるなら、生パスワードで保存しても変わらないか…って考える組織もありそう。— てつぼう (@radiantironbar) August 16, 2023 1 コメントを投稿する 名前 本文(必須) ※コメントの番号の前に「>>」をつけると、そのコメントに返信できます(例:>>1) ※削除依頼はお問い合わせからメールでお願いいたします