GIZMODOなどを運営するGawkerのシステムがハックされる。読者アカウントデータ130万件などが流出 13
ストーリー by hylom
原因はなんだったんだろう 部門より
原因はなんだったんだろう 部門より
あるAnonymous Coward 曰く、
GIZMODOやLifehacker、Kotakuなどの人気ブログメディアを運営するGawker Mediaの読者アカウントデータベースからパスワードなどの個人情報が流出したそうだ(CNET Japan、Mediaite、本家/.)。
Gawker Media傘下にはGizmodoやLifehacker、Kotakuやio9などがあり、これらのサイトの読者アカウント130万件のデータが流出したとされている。攻撃を仕掛けたのはGnosisと呼ばれるハッカー集団。彼らはGawkerのコンテンツマネジメントシステムおよびGizmodoのTwitterアカウントもハックしたとのことで、Gawkerのサイトには流出データをダウンロードできるPirateBayへのリンクを含む記事もアップされたという。
流出したパスワードはエンクリプションされていたものの単純なパスワードは解読される可能性が高く、Gawkerは早急にパスワードを変更するよう呼びかけている。
使い回し (スコア:2, 参考になる)
パスワードの使い回しをしている人がTwitterもハックされてるらしいね。(参考 [itmedia.co.jp])
危機管理が甘い人間の自業自得か。
にしても日本の方のサイト上じゃ全然流出についてはコメントしてないな。
細かいことかもしれないけど (スコア:2, すばらしい洞察)
ハックとクラックはきちんと使い分けてほしいですね
Re: (スコア:0)
もうあきらめたらw
Re: (スコア:0)
クラッキングはRISCに対するCISCのようにハッキングと悪意のある行為を別にしたい人が、あとから提唱したものらしいですよ。たから定着しないんじゃないかなぁ。いまWikipedia [wikipedia.org]をみたら「一般化」したとか書いてありますけど、全然一般化しておらず、普通の人に言ってわかる言葉じゃないですよね。
説明しないと理解してもらえない言葉はなかなか使いづらいし、使われないでしょう。鳥と卵的なところもありますけど。
生パスワードを保存する必要性って何? (スコア:1)
一体何年前の感覚なんだろう。暗号化してても意味無い。システム側にはパスワードはハッシュ化して保存してれば十分。
Re:生パスワードを保存する必要性って何? (スコア:1, 参考になる)
リンク先を読むと、おそらくパスワードは生ではなく、ハッシュされた文字列を保存していたのでしょう。
ただ、パスワードの文字列を単純にハッシュ処理して保存していたことが問題のようです。
サーバー側で文字列の付加や再帰的なハッシュ処理していればもう少し強くなったでしょうに…。
いくらハッシュでも単純な文字列だと既知のハッシュ対応データベースがありますので、元のパスワード文字列が推測可能です。
そのため「暗号化はされていたけど総当たり攻撃されるとバレて、同じIDとパスワードを組み合わせて利用していると危険なので対応お願いします。」ってことじゃないかな。
Re:生パスワードを保存する必要性って何? (スコア:2, 参考になる)
Re: (スコア:0)
名前を知らずに使っていました。ソルト処理というのですか…勉強させて頂きました。
Re: (スコア:0)
Re: (スコア:0)
私も知らなかったのですが、その感覚ももう古い(というか最初から間違い?)らしいです。
以下のリンクでは「暗号ではなくハッシュ値で保存すべき」という意見がセキュリティ専門家から否定されています。
http://b.hatena.ne.jp/entry/togetter.com/li/77080 [hatena.ne.jp]
http://togetter.com/li/77080 [togetter.com]
タイトル (スコア:0)
一番恥ずかしいのは (スコア:0)
ゴーカー・メディア [wikipedia.org]の一覧を見る限り
一番恥ずかしいのはエロサイトFleshbotの登録がバレることかな。
#登録してたら困るのでAC