Operaは最近、そのブラウザー事業を中国のコンソーシアムに売ることに合意したが、今週はそのサービスの一つが、サーバーをハッカーに侵入されたため、ユーザーのパスワードをリセットした。
同社によると、犯人はOpera Syncへのアクセスを獲得した。これはユーザーがブラウザーのデータや設定を複数のプラットホーム間でシンク(同期化)できるためのサービスだ。現在まだ調査中だが、初期的な結論としては、犯行によりパスワードとログイン名などのユーザーデータが漏洩したようだ。
Operaはその幅広いプロダクト全体で3億5000万のユーザーを抱えているが、その中でSyncサービスのユーザーはごく少数だ。先月の時点でアクティブユーザーが170万だったが、もっと多くのノンアクティブの登録ユーザーも、Operaにパスワード等のデータを提供している。同社はすべてのパスワードをリセットし、Syncの全登録ユーザーにメールで詳細を伝えた。
またブログ記事では次のように説明している: “パスワードはすべて(同期化のためには)暗号化され、(認証のためには)ソルトされハッシュされて保存されていたが、それでもわれわれはOpera Syncのすべてのアカウントのパスワードを、念のためリセットした”。
Dropboxが、パスワードを2012年以降変えていないアカウントのパスワードをリセットすると発表したその翌日に、Operaがやられたというニュースが飛び込んできた。Dropboxの決定は、2012年に起きたLinkedInに対する大規模なハックへの懸念が契機だ。そのときは、1億1700万のアカウントの認証情報がネット上にポストされた。
Operaの事件はそれとは無関係なようだし、ハック攻撃の対象はたった一つのサービスに限定されているようだ。しかし調査がすべて終われば、詳しい実態がさらに明らかになるだろう。
攻撃の噂は1か月前からあった。そのころはOperaが、そのブラウザー事業とプライバシーアプリと中国の合弁事業を、中国のコンソーシアムに6億ドルで売る、と発表した直後だった。そのコンソーシアムのトップQihoo 360は、ウィルス対策の企業だ。最初の合意ではOpera全体を12億ドルで売るとなっていたが、株主たちの承認が期日内に得られなかったため、新たな合意案が作られた。