2021/03/03

ユーザ名とハッシュ化したパスワードなど 70 ギガバイト相当のデータが Gab.com から漏洩

パスワード,password,PW,流出

2021 年 3 月 3 日 Trevor Collins 著

政治右翼に支持されるオルタナティブソーシャルメディアサイト「Gab」で、SQL インジェクションの脆弱性で個人情報が流出したと Gab.com が発表しています。Gab の CEO である Andrew Torba 氏は、週末の時点では侵害を否定していましたが、その後一転して認めています。

JaXpArO と名乗るハッカーは、盗んだデータをハクティビストグループの DDoSecrets に引き渡しています。DDoSecrets は Gab から得たデータは公開しないとしていますが、過去には侵害データへのアクセスを第三者に提供したこともあり、またジャーナリストとは情報を共有すると述べています。今回のハッキングへの対応として、Gab は声明の中で「ハッカーを名乗る個人から、ビットコインの価値に換算し 50 万ドル近くの身代金が要求された」と述べています。ウォッチガードでは他の侵害と同様に、リークの内容はすぐにダークウェブ上で公開されると予想しています。

DDoSecrets によれば Gab からのリークには公開されている投稿、未公開の投稿、ユーザプロフィール、ハッシュ化したパスワード、メッセージ、グループのパスワードがテキスト形式で含まれていたとのことです。Wired には、ハッキングの動機を攻撃者が述べるメッセージを含むいくつかのファイルが提供されています。Wired はハッカーの JaXpArO のメッセージとして以下を掲載しています。”F*** TRUMP. F*** COLONIZERS & CAPITALISTS. DEATH TO AMERIKKKA.”(「くたばれトランプ。くたばれ植民地主義者と資本主義者。白人至上主義のアメリカに死を」)

多くのサイトにおいてセキュリティが欠如していることから、ハッカーはソーシャルメディアサイトを標的にし続けています。もし Gab.com のリークがグループのテキスト形式のパスワードを含んでいたとしたら、ベストプラクティスをまったく実施していなかったとことになります。したがってハッシュ化されていても、パスワードのセキュリティにはあまり期待はできません。仕事とソーシャルメディアで同じパスワードを使用することは避け、パスワードマネージャを使用して強力でユニークなパスワードを作成することをお勧めします。大手ソーシャルメディアのほとんどは個人情報を流出させているので、情報の保護を期待しすぎないでください。公開したくない情報を送信する場合は、エンドツーエンドの暗号化を使用することをお勧めします。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)