ホスティングサービスのHostingerで1400万人の個人データが漏洩

ウェブホスティングサービスを運営しているHostingerは、同社顧客数百万人の個人情報を含むデータベースへの不正アクセスを検出したため、「予防措置」としてユーザーパスワードをリセットしたと発表した。

データ侵害は米国時間8月22日に起きたとされている。同社はブログ記事で、サーバーの1台が不正にアクセスされたというアラートを受信したことを報告した。ハッカーは、ユーザー名とパスワードがなくてもシステムにアクセスできるアクセストークンを利用して、APIデータベースを含む同社のシステムをアクセスした。データベースには、顧客のユーザー名、メールアドレス、およびびSHA-1を使用して暗号化されたパスワードが格納されていた。SHA-1は、なりすましされる脆弱性が発見されて以来、使用中止が推奨されていた。同社はその後、パスワードのハッシングをより強力なSHA-2アルゴリズムに変更した。

Hostingerによると、問題のAPIデータベースには約1400万件の顧客レコードが格納されていた。同サービスには2900万人以上の顧客が登録されている。

同社は「現在関係当局と連絡をとっている」と語った。

hostinger

データ漏洩について説明するHostingerから送られたメール(画像は本誌へ提供されたもの)

データ漏洩のニュースは一夜にして広まった。同社のステータスページによると、同サービスのユーザーはパスワードのリセットに関するメールをすでに受け取っている。

同社によると、財務データに対する侵害はなく、顧客のウェブサイトファイルやデータも影響を受けていない。

しかしデータ漏洩の影響を受けたユーザーのひとりは、漏洩範囲について会社の発表は「誤解を招くものだ」と指摘している。

TechCrunchが見たチャットログによると、カスタマーサポート担当者が顧客に対して、顧客の財務データがそのAPI経由で入手できるというのは「正しい」が、会社はそこに「支払情報を格納していない」と伝えていた。

HostingerのCEOであるBalys Kriksciunas氏はTechCrunchに、カスタマーサポート担当者の説明は「誤解を招く」ものであり、顧客の財務データは一切流出していないと語った。ただし、本データ漏洩に関する企業捜査は続行中だ。

関連記事

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。