[at]PAGES個人情報流出、なんとパスワードは平文

Hacker Stock Photo
Photo:Hacker Stock Photo By undefined
どうも、こんにちわ。
なんだか個人情報の最近流出事件が流行っていますが、ついにその波は僕ものところへもやってきました。(笑)
ぜーんぜん使ってないのですが、@PAGESも流出させました、流出項目が意外とやばいかもしれません。

流出が発覚して1回目の報告

2013/08/28にリリースされました。
@PAGESご利用ガイド – 13/08/28 【お詫び】ユーザ情報流出に関するお知らせ – @ウィキモバイル

ユーザ名
パスワード
メールアドレス
登録時のIP
登録時のユーザエージェント
※影響範囲
2013年2月27日午後3時以前に登録したユーザ全員
なお、クレジット番号、住所、氏名、電話番号につきましては
管理情報として登録されておりませんので、流出はございません。

この報告からだと、いつ発覚したのか、わかる範囲の経緯が一切、発表されていないところをみると、なんだか胡散臭い会社だなというのが正直な感想です。
ただサービスも使ってないしID、パスワード、メールアドレスが流出しても、迷惑メールがくる程度の影響しかないと思っていました。
他のサービスでこのアドレスは使う事がないので無事です。

2回目の報告

2013/08/29発表
@PAGESご利用ガイド – 13/08/29 【お詫び】ユーザ情報流出に関するお知らせ【第2報】 – @ウィキモバイル

今回の報告では流出したデータと原因、経路が発表されました。

○流出したユーザデータ情報
2013年2月27日午後2時54分時点で@PAGESに登録されているすべてのユーザについての
ユーザ名
パスワード
メールアドレス
登録日時
登録時のホスト名
登録時のIPアドレス
登録時のユーザーエージェント
その他のユーザ管理の情報
※パスワードは平文のまま流出いたしております。
※2013年2月27日午後2時54分までに退会済みのユーザの情報は含まれておりません。
○流出したユーザデータ件数
175297 ユーザ
※流出したユーザの内訳等については引き続き調査中です。判明次第速やかに発表させて頂きたく存じます。
○ユーザデータ情報流出の状況
一般のブラウザではアクセスできない特定の場所においてユーザ管理情報DBのデータが閲覧可能な状態です。
現時点では該当ファイルを削除することは技術的に困難と思料しておりますが、
弊社において、流出に起因する被害の発生を防ぐ措置について検討しております。
○現段階において推定される原因、流出経路
ユーザ管理情報DBにアクセスするためのユーザ名とパスワードが流出し、
@pages内サーバからユーザデータ情報を抜き出した可能性が想定されます。
DBへアクセスするためのユーザ名・パスワードの流出経路については現在調査中です。

[その他のユーザ管理の情報]、パスワードが平文というのが非常に気になります。
もう一度言いますよ。パスワード平文!
パスワードを暗号化しないでまんまデータベースや入れてたのかよ!!
外からアクセスできないシステムでも暗号化管理してるというのに暗号化なしで保存するとかもう、終わってます。
また、ユーザー管理の情報とはどのような情報なのでしょう。実はカード情報とか含まれてたりとかしなければ良いですがね。僕はカード登録してないので問題ないです。
また、気になるのが、【
一般のブラウザではアクセスできない特定の場所においてユーザ管理情報DBのデータが閲覧可能な状態です。 】アクセスできる状況で管理されてたなんて…普通に侵入されたとかどんな管理だったのか気になるところです。
サービス停止してネットワークから切り離した方が良いのではないでしょうか。

まとめてみると

流出は、いた仕方ない部分もありますが、そのあとの対応で企業の体質などが何と無くわかった気がします。
暗号化対応などすぐにできるなら最初から対応しておいて欲しいものです。
また流出しても、なんか最近は捕まる事がないのか犯人のばなしな事が多く感じます。
犯人逮捕もされると良いですね。


こんな記事のリクエストからディズニーランドに一緒に遊びに行きませんか?というお誘い、写真を一緒に撮りに行きましょうというお誘い、誤字・脱字をはじめ全てのお問い合わせは、こちらへお願いします。
定期的な購読はRSSにご登録お願いします。
掲載している写真の個人的利用、保存はOKですが、複製、再利用、営利目的の利用は禁止です。