ハッキングされた16のウェブサイトから盗まれたアカウント情報がダークウェブで販売されています。アカウント名、メールアドレス、ハッシュ化されたパスワードなど、合計6億1,700万件の記録が公開されています。

レジスターには、影響を受ける 16 の Web サイトがリストされています。

2万ドル未満のビットコインで、TorネットワークにあるDream Marketサイバースークから以下の盗まれたアカウントデータベースを購入できると主張されています。

Dubsmash（1億6,200万）、MyFitnessPal（1億5,100万）、MyHeritage（9,200万）、ShareThis（4,100万）、HauteLook（2,800万）、Animoto（2,500万）、EyeEm（2,200万）、8fit（2,000万）、Whitepages（1,800万）、Fotolog（1,600万）、500px（1,500万）、Armor Games（1,100万）、BookMate（800万）、CoffeeMeetsBagel（600万）、Artsy（100万）、およびDataCamp（70万）。

The Registerが確認した数ギガバイト規模のデータベースから取得したサンプルアカウント記録は、正当なもののように見えます[…]。サイトによって異なりますが、位置情報、個人情報、ソーシャルメディアの認証トークンなど、その他の情報もいくつか含まれています。販売リストには支払い情報や銀行カード情報は記載されていないようです。

一部のパスワードは MD5 アルゴリズムのみを使用してハッシュ化されており、簡単に解読できます。

問題となっているウェブサイトの中には、すでにデータ漏洩を公表しているところもありますが、500pxのように、当時は漏洩に気づいていなかったウェブサイトもありました。同社は現在、この主張を認め、ユーザーに通知しています。

500px のスタッフは現在、サイトが実際にハッキングされたことをユーザーに通知しており、MD5 を使用して弱いハッシュ化されたものから始めて、すべてのパスワードをリセットする予定です。

「侵害が発生したことを確認しました」とニューウェル氏は述べた。「当社のエンジニアは直ちにシステムの包括的なレビューを開始し、その後、あらゆる予防措置を講じてシステムのセキュリティを確保しました。社内調査ですべての脆弱性が特定され、修正されました。現在までに問題の再発の兆候は見つかっておりません。」

現在、全ユーザーへの通知作業を進めておりますが、影響を受けるユーザー数が多いため、作業には最低でも1日かかる見込みです。ユーザーデータの安全確保のため、あらゆる予防措置を講じております。現在、全ユーザーを対象に、システム全体のパスワードリセットを実施しております。リセットは、潜在的なリスクが最も高いアカウントから優先的に実施しており、MD5暗号化パスワードはすべて強制的にリセット済みです。

500px はブログ投稿で、侵害は 2018 年 7 月 5 日頃に発生したが、金曜日に初めてそれに気付いたと述べている。

2019年は今のところセキュリティにとって良い年とは言えません。1月には、当時としては過去最大規模のメールアドレスとパスワードの漏洩が発生し、約7億7,300万件のデータが漏洩しました。その後、さらに4件の漏洩が発生し、合計22億件という驚異的なユニークアカウント数に達しました。また、最近、iCloudでロックされたiPhoneにアクセスするために使用された2つの手法についても判明しました。

いつものように、この機会にセキュリティを見直し、パスワードを使い回していないか確認しましょう。盗まれたアカウント情報は、通常「クレデンシャルスタッフィング」に利用されます。これは、データを購入した者が、同じメールアドレスとパスワードを様々な人気ウェブサイトやサービスで自動的に試す行為です。

havebin.com を Google ニュース フィードに追加します。