宅ふぁいる便 パスワードを平文で保存していた模様「暗号化されていないメアドとパスワードの組が480万件流出した」
このサービスを使ったことある人で、他のサービスと同じパスワードを使っていた人は直ちに変更を
更新日:
ringoさん
VIEW
宅ふぁいる便 パスワードを平文で保存していた模様「暗号化されていないメアドとパスワードの組が480万件流出した」
宅ふぁいる便、どうやら国内史上最悪のセキュリティ事故っぽい。
2005年からの480万件のめーる、パスワード(平文)漏洩か
サービスの性質上、会社のメアドで登録が多そうだし、リスト型攻撃が出てきそう https://t.co/ulaMIsGx7y
t.co/1i489D6mG7 宅ふぁいる便で最大480万件のメールアドレスと「暗号化等が一切されていない」パスワードが漏洩した件、オージス総研は『現時点で個人情報漏洩による二次被害は確認されておりません』と言い切っていますが、こういう不誠実極まりない戯言は、絶対に信用しないでください。
というのも、これらのユーザーID・パスワードの組み合わせが漏れ、それが悪意ある第三者に使われたとしても、それがオージス総研から漏れたものであることを証明する(故の被害である)ことを立証するのはものすごく困難なのです。宅ふぁいる便から漏れたものかもしれない。違うかもしれない。
賭けてもいいですよ。たとえば、とあるサービスにてリストアタックが急増したとしましょう。オージス総研に「当社サービスにてリストアタックが増加中である。宅ふぁいる便のアカウント情報漏洩由来のものか調査したいので協力してほしい」といってもオージス総研側がこれに応じるわけがないですから。
応じられるわけがない。お互いが持つユーザー情報を勝手に交換するわけにもいきませんから。つまり、「二次被害が出ている」ことを確認する術がないんです。どうやっても「これひょっとして宅ふぁいる便の?」と勝手に推測するのが関の山。
宅ふぁいる便のあれ、2005年からソースを対して大きく変えず(ガワは変えてたけど)やってきたってことなんだろうなぁ。。
あのころはPW平文ってのも、まぁありそうだし。(でも、せめてMD5ぐらいはその時点でもできたと思うが)
宅ふぁいる便のQ&Aにこんな質問があるんだが、パスワードも平文保存して、すべてご開帳するようなファイル転送サービスをよくもまあ使い続けたいと思うものだ。
t.co/HtMpXnktzb
480万件の平文パスワードってすごいなあ... 20km以内に近寄りたくない爆薬庫じゃん...
幸い個人的には宅ふぁいる便にはアカウントを作ってなかったぽいので被害ないけど。
t.co/UaBsbqlSNT
総務省あたりが「お前の会社のサービスはパスワード平文保存してねえだろうな?」と脅しをかけてもいいのではないか t.co/KNU4xytlUl
「「世のエンジニア卒倒レベル」宅ふぁいる便が480万件のメールとパスワードを情..」t.co/OiODHUQUPS にコメントしました。
オージス総研ってわりとIT系で有名だと思うけどそれでもこんななのか。パスワード平文で保存してたってことだよね。
「流出したログインパスワードは、暗号化されておりませんでした」
「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について t.co/4sKReUgHx3
まあ今時、宅ふぁいる便なんて使ってる人そうそうおらんと思うけども…
パスワード平文管理はひどいねー t.co/dFmUoRymut
パスワード平文てアホか!?
「世のエンジニア卒倒レベル」宅ふぁいる便が480万件のメールとパスワードを情報漏洩→暗号化もされてませんでした - Togetter t.co/0tGatQ0qmQ
平文なのかまさか
「世のエンジニア卒倒レベル」宅ふぁいる便が480万件のメールとパスワードを情報漏洩→暗号化もされてませんでした - Togetter t.co/w93N3TOakh @togetter_jpさんから