パスワードを忘れた? アカウント作成
12627502 story
情報漏洩

サンリオタウン、アカウント情報330万件が公開状態になっていた 26

ストーリー by headless
公開 部門より
サンリオの公式オンラインコミュニティサイト「サンリオタウン」のユーザーアカウント情報330万件を含むデータベースが公開状態になっていたそうだ(The SanrioTown OFFICIAL Blogの記事CSO Onlineの記事V3.co.ukの記事The Guardianの記事The Registerの記事)。

公開状態になっていたデータベースのレコードにはユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれるという。

この件についてサンリオは、サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表。設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと。なお、公開されていたデータベースには18歳未満のユーザーのレコード18万件以上が含まれるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表

    ajaxなhtmlソースからバレた?

  • by Anonymous Coward on 2015年12月23日 12時26分 (#2939396)

    サーバーの設定ミスによりデータベースが公開状態になっており

    これも本来はダブルチェックとかで防がれるべきモノではあるが、まあ設定ミスは起こりうるので、ある意味仕方ない。
    (「仕方ない」と「責任を取る必要がない」はイコールではないのが前提で)

    問題はそこじゃなくて、
    ユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれる

    ここだよね。これはもう、本来「設計をミスっちゃいました」で済まされる問題ではない。

    なので、オフィシャルブログの

    Measures to prevent recurrence

    We installed additional security mechanisms on our servers. We will carry out periodic review of these security measures

    は、そういう問題じゃねーだろって話。
    最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
    (セキュリティ機能の追加ももちろん有用ではあるが、結局それに穴があれば同じトラブルが再発するだけじゃん)

    • by Anonymous Coward

      長文を書いているわりに言いたいことが一言で済みそうな文章。

      それに
      > 最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
      セキュリティ機能の追加が暗号化DB運用かもしれないじゃん?

    • by Anonymous Coward

      salt無しでのハッシュ化は何時になったら無くなるのやら...
      このまま無くならないのなら、いっそ法規制かけてほしい

  • by Anonymous Coward on 2015年12月23日 11時51分 (#2939381)

    日本だとそういうのは何ら発表られないよねえ。

  • by Anonymous Coward on 2015年12月23日 12時13分 (#2939390)

    > 設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと

    報告者はアクセス可能か否かだけ確認して報告したってことか?

    • by Anonymous Coward on 2015年12月23日 13時17分 (#2939411)

      そうなんじゃない?

      ・実際にDB情報が漏れてる
      ・DBのポートが開いていて、接続可能

      という状況さえ分かれば、わざわざ辞書攻撃でログインを試行した上、
      DBの情報を根こそぎ取得可能かどうかなんて調べる前に通報するんじゃ
      ないかな。それが悪用可能か否かはサンリオが調べれば良いこと。

      下手に「悪用が可能なこと」を証明してしまうと、最悪逆切れで
      通報されかねないし。

      親コメント
  • by Anonymous Coward on 2015年12月23日 12時15分 (#2939392)

    海外向けサイトなのか(だからどうでもいいってわけじゃないが)

    どうせならサンリオSF文庫の資料でも流出させておけば、一部の人間は喜んだだろうに

  • by Anonymous Coward on 2015年12月23日 12時23分 (#2939395)

    PHPなので、phpMyAdminでパスワード無しでアクセスできたとか。

    • by Anonymous Coward

      > PHPなので、phpMyAdminでパスワード無しでアクセスできたとか。

      それをデータベースが公開状態というのか?言わないだろう?

    • by Anonymous Coward

      元記事読め。mongoDBって書いてあるだろ。

  • by Anonymous Coward on 2015年12月23日 12時46分 (#2939403)

    ただのヒントだったら答えも何もいらないしな。パスワードリセットの質問とその答えかな?
    だとしたら答えもハッシュ化されていると思うんだけどな…

    • by Anonymous Coward

      > だとしたら答えもハッシュ化されていると思うんだけどな…
      なんで?

      それが漏れてパスワードリセットが出来るようになったとしても登録メールアドレスを読めないと先に進めなくないですか?

      • メールアドレスが再利用されたり、盗聴されたり、乗っ取られたりされている場合も想定するので、答えもハッシュ化するのが当然だと思います。

        けど特に日本語は全角半角や空白の有無など表記ゆれがでるので、徹底的に正規化しておかないとあわなくなる。

        親コメント
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...