Weeblyが管理する4300万件のユーザーデータが流出

weebly-promote

流出したデータに関する情報提供サイトのLeakedSourceからの報告により、Webサイト製作プラットフォームのWeeblyが今年の2月にハッキングの被害にあっていたことが分かった。Weeblyが管理するパスワードは強力なハッシング・アルゴリズムであるBCryptを使ってハッシュ化されてはいたが、4300万以上のアカウントのユーザーネーム、パスワードが流出したという。

Weeblyがユーザーに送ったemailでは、ユーザーネームとパスワードに加えてユーザーのIPアドレスも漏洩したことが報告されている。

Weeblyは同社のユーザに対し、「ユーザーの皆様のWebサイトが不正にアクセスされているという形跡はありません」と説明し、同社はクレジットカード情報を管理しておらず、ユーザーのクレジットカードが不正に利用されることも考えにくいとのこと。

LeakedSourceは匿名の情報源からWeeblyのデータベースを受け取り、Weeblyにデータ漏洩の可能性を伝えた。LeakedSourceによれば、Weeblyのユーザーにはデータ漏洩の事実を伝えるEメールが送られたのと同時に、リセットされたパスワードが発行されている。だが、もし読者がWeeblyユーザーであり、パスワードのリセット報告を受け取っていなかったとしても、どのみちパスワードを変更しておいた方がいいだろう。

Weeblyの件に加えて、LeakedSourceはFoursquareのユーザーデータが2013年12月に流出していたことを発見し、同社が管理する2250万件のユーザーデータが漏洩したと報告した。一方でFoursquareはそれに対して異議を唱え、ユーザーのメールアドレスは外部からもアクセス可能なデータと相互参照できるようになっているだけだと主張した。メールアドレスだけではなく、ユーザーネーム、FacebookとTwitterのIDなどのデータはFoursquareのAPIや検索機能を操作して入手された可能性があるということだ。

Foursquareの広報担当者は「私たちは内部調査を実施しましたが、データが漏洩した形跡はありませんでした」と説明している。

今回の件は最近頻発するデータ流出事件の一部に過ぎない。先日にはYahooから5億件のユーザーデータが流出し、Dropbox、MySpace、Tumblrでも同様の事件がおきるなど、今年になってデータ流出事件が頻発している。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

3200万のTwitterアカウントのパスワードがハックされてリークした、かもしれない

shutterstock_311499485

困ったことに、大きなソーシャルメディアサイトが、またハックされたようだ。3200万人ぶん以上のTwitterの認証情報がハッカーに盗まれて、今、Webの裏世界(‘dark web’)で売られている。

ハックされた情報の検索エンジンを提供しているLeakedSourceブログ記事によると、同社はユーザー情報のコピーを“Tessa88@exploit.im”から受け取った。それは、ロシアのソーシャルネットワークVKから先週ハックされたデータをくれた者が使っていたのと同じエイリアス(別名)だ。

最近の大規模なセキュリティ事件としては、Myspaceのハックによる3億6000万あまりのアカウント漏洩がある。これは、これまでで最大だ。また2012年にはLinkedInが、1億のパスワードを盗まれた

LeakedSourceによると、今回のTwitterのハックで3288万8300件のメールアドレス、ユーザー名、そしてパスワードが同サイトの検索エンジンに加えられた。そこでリークした情報を見て削除できる。

データ中の情報(多くのユーザーのパスワードがプレーンテキストで表示されることなど)に基づいてLeakedSourceは、ユーザーの認証情報はFirefoxやChromeなどのブラウザーに感染したマルウェアが集めた、と考えている。被害者ユーザーの多くはロシアにいるようだ…データベースに表現されているeメールのドメインの10のうち6つが、mail.ru、yandex.ruなどロシアのドメインだ。

Mark Zuckerbergの、TwitterなどFacebook以外のソーシャルメディアのアカウントがいくつか今週ハックされたが、彼の情報は今回のデータセットにはない。Zuckerbergは複数のサイトで”dadada”というパスワードを使っていて笑いものになったが、LeakedSourceが行ったデータ分析の結果を見ると、彼よりもさらにひどい人は多い。12万417回登場する、最多のパスワードは、“123456”で、“password”は17471回登場する。VKのデータを分析しても、結果はこれと類同だ

TechCrunchは今、Twitterに詳しい情報を問い合わせ中だ。

—–以下、続報—–

Twitterは本誌TechCrunch宛の声明で、Zuckerbergなどのセレブたちのアカウントが最近ハイジャックされたのはパスワードの再利用が原因で、それがLinkedInやMyspaceの侵犯で漏れたのだ、と示唆している。

Twitterのスポークスパーソンは、“過去数週間で複数のオンラインサービスが数百万のパスワードを盗まれている。Twitterのパスワードにはユニークで強いパスワード使うよう、おすすめしたい”、と言っている。アカウントを安全にするためには、同社のヘルプセンターが提供している提案を使え、ということだ。Twitterの@Supportアカウントのポストでは、同社のデータを最近のデータベースダンプと突き合わせて検査している、とも言っている:

LeakedSourceによると、同社は15名のユーザーにパスワードを確認して、リークしたデータが本物であると判断した。それらのパスワードは、データ中のパスワードと同じだったのだ。しかし専門家は、それでもなお、そのデータが本物でないことがありえる、という。

Twitterでセキュリティを担当しているMichael Coatesはツイートで、Twitterのシステムが侵されたのではないことは確実だ、と言っている:

“弊社はすべてのパスワードをbcryptで保存している”、とCoatesはパスワードハッシングファンクションの名を挙げて付言し、それは安全であると見なされる、と述べた。“今LeakedSourceと協働して情報を取得し、ユーザーを保護するためのさらなる措置を講じたい”、と彼は話を続けた。

侵犯をカタログしているサイトhaveibeenpwned.com(“私はボコボコにやられたのか”)の作者Troy Huntも、データの本物性に対する疑念を表明した。彼によると、TwitterとFacebookの侵犯は数週間前から噂になっているが、納得できる証拠は見たことがない。“以前の大きな侵犯でまだ公表されてないやつと合うなら、それは古いリークだ。ちなみに、これまでのアカウント乗っ取りはほとんどどれも、認証情報の再利用がほかのデータ侵犯サイトでも行われていたことの結果だ”、とHuntは言う。

リークしたTwitterの認証情報が本物であろうとなかろうと、パスワードを変えることは誰の害にもならない。同じパスワードを複数のサイトで使っているなら、なおさら、変えた方がよい。二要素認証は、パスワードがリークしたときでも、アカウントの安全を守る。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))