take-ash 曰く、@wikiのユーザー全員の管理情報およびデータが流出したそうだ(障害情報)。 現在、全ユーザーのパスワードを強制的にリセットしており、再発行手続きを行うようユーザーに呼びかけている。流出内容は、ユーザー名、暗号化されたパスワード、メールアドレス、登録時のIPアドレスとのこと。クレジットカード番号、住所、氏名は管理情報として登録されていないため、流出していないとしている。
公式から出ている状況とか噂とか (スコア:5, 参考になる)
私のタレコミ文も
このタレコミのコメントに入れたけど反映してないからストーリーにコメントしろってことなので。。
---
無料wikiサービスの@wikiでユーザ情報の流出が発生した。【お詫び】ユーザ情報流出に関するお知らせ [atwiki.jp]
影響範囲は登録ユーザ全員のものということ、この流出によってパズドラ等のゲーム関連のwikiを中心に
改竄が行われているという報告が挙がっているなど、既に被害も出ている模様。
流出した情報は以下のとおり。
@wikiの有料サービスは携帯専用優先パスポート [atwiki.jp]というものだけ存在する。
流出していないとされているが、今後の状況次第で変わる可能性もあると考えられるため、利用者には注意いただきたい。
上記にてパスワードの流出については「暗号化されています」と書かれているが、2chでは以下のように言われている。
このため利用者は、@wikiで登録したパスワードを他のサービスでも使用している場合、他のサービスのパスワードを変更するといった対策が必要だ。
今回の情報流出に関して2chを中心に多くの情報が飛び交っているが、当然のごとく噂が噂を呼び錯綜している状態である。
なおwikiの改竄が可能となれば容易に悪意のあるスクリプトを仕込むこともできてしまうため、
事態解決のアナウンスがされるまで@wikiで作成されているwikiコンテンツにはアクセスしないほうがよいだろう。
現時点では公式の根本的な解決方法・対策といった情報も出てきていないため、@wiki側での登録情報の変更は意味がない可能性もあるため、
利用者は公式アナウンスどおりに@wikiでのパスワードを変更しても油断はしないよう要注意だ。
# そもそもwikiのオーナーが変更されている可能性もあるため、パスワードの変更が正常に行えるかも不明だ
# なおjavascriptでどこまでの悪意を仕込めるかという点はさておき、
# @wikiでのjavascriptの埋め込みに関してはwikiを作った者であれば可能である [atwiki.jp]
Re:公式から出ている状況とか噂とか (スコア:3, 参考になる)
既にパスワード再発行フォームも乗っ取られて、ホリエモン画像が設置されたりしてる。
Re:公式から出ている状況とか噂とか (スコア:1)
Re: (スコア:0)
ユーザ名はハッシュ化しても問題ないはずなのに、なぜユーザ名もハッシュ化しなかったのだろうか。
少なくともWikiとメールアドレスが結び付けられることはなくなるのに。
またアットフリークスか! (スコア:5, 興味深い)
@pageでもユーザー情報漏えいトラブル [netsecurity.ne.jp]起こしたし、@wordは長期メンテナンス→5月で閉鎖します [atword.jp]ですよ。
公式からの続報 (スコア:3, 参考になる)
公式から来てたメール第3報の転載ですが。
いつも@wikiをご利用頂きありがとうございます。
現在、ユーザ情報流出につきまして警察に相談を行いました。
今後につきましては、警察と相談の上、進めてまいります。
(既出のパスワードリセットURLと手順省略)
ファイルの改ざんについて調査/対策を行っております。
現在のところ、弊社で把握している点は以下の通りです。
1.一部のサーバのwikiにおいて、リダイレクトするスクリプトを
仕組まれまれたことを確認致しております。
2.一部のサーバのwikiパスワード再発行ページにおいて、
ページの改ざんされたことを確認しております。
3.インターネットの一部のサイトでJavascriptの改ざんがされたという記述が
見受けられます。弊社で調査いたしましたが、現在のところ、
改ざんは確認されていません。
4.インターネットの一部のサイトで@wikiにウイルスが仕込まれたという記述が
見受けられます。弊社で調査をいたしましたが、現在のところ、
ウイルスやウイルスによる通信は確認しておりません。
5.インターネットの一部のサイトで@wikiへアクセスすると、
open2ch様へ攻撃するという記述が見受けられます。
open2ch様に確認いたしましたところ、
現地点で、@wiki経由で攻撃は無いとご返答いただきました。
本件につきましては多大なご迷惑をおかけし、まことに申し訳ございません。
重ねてお詫び申しあげます。
何か質問等ございましたら、サポートまでフォームからお問い合わせください。
Re:公式からの続報 (スコア:1)
【お詫び】ユーザ情報流出に関するお知らせ
http://www1.atwiki.jp/guide/pages/2606.html [atwiki.jp]
2014年03月12日 21時00分追記
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
1.データの流出が確認したサーバ について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
ユーザ用の管理情報およびデータの流出を全サーバーで確認いたしました。
管理情報は以下の通りです。
メールアドレス
暗号化済みパスワード
メールアドレス
登録時のIPアドレス
前回のご報告にもありますよう、氏名・住所等の個人情報に当たる情報はございません。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
2.各wikiデータ流出について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
2014年03月09日以前の一部のwikiデータが流出しておりました。
<流出内容>
メンバーのメールアドレス
メンバーの暗号化されたパスワード
wikiページ内容
wikiページ編集時のIPアドレス
前回のご報告にもありますよう、氏名・住所等の個人情報に当たる情報はございません。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
3.現在の対応状況について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
直接原因となったプログラムは削除いたしました。
また、プログラムを設置できた直接的な脆弱性は修正いたしました。
それに伴う、直接的なセキュリティホールも修正いたしました。
引き続き、間接的な部分の調査をおこなってまいります。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
4.FTPの一時停止について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
現在メンテナンスをしており、FTPを一時停止させていただいて
おります。ご了承のほど、よろしくお願いいたします。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
5.弊社他サービスとのパスワード共有疑惑について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
一部の報道で、弊社の@wikiのパスワードと他のサービスでのパスワードが
共有されているという報道がございましたが、共有はしておりません。
過去に共有すれば便利になると社内で検討はいたしましたが、開発を
断念しております。誠に申し訳ございません。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
6.ウイルス疑惑について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
一部のサイトで、@wiki内にウイルスが混入しているかのような
誤解を招くような画像や情報が報じられています。
しかしながら、現在のところ、ウイルスは確認されておりません。
引き続き調査して参ります。
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
7.Javascriptの改ざん疑惑について
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
引き続き弊社で調査をしておりますが、現在のところ、
改ざんは確認されていません。引き続き調査して参ります。
# SlashDot Light [takeash.net] やってます。
Re:公式からの続報 (スコア:1)
ですねぇ
ページの改竄は確かにあったけどウイルスは出てないから問題ありません大丈夫ですじゃ怪しすぎる。
どうせ無料なんだからとりあえずサービス止めてメンテ画面で周知しろと。
結局未だに穴塞いだのかどうか対策取れてるのか見えてこないのも不安だ。
「更新情報」ページに隠すんじゃなくて堂々とトップで (スコア:2)
お知らせして欲しいです
それとタレコミの方ありがとうございました。助かりました
他の記事 (スコア:2)
@wikiで全ユーザーの個人情報流出 有害なスクリプト設置の可能性も 専門家は「閲覧しないこと」を推奨(ハフィントンポスト)
http://www.huffingtonpost.jp/2014/03/08/atwiki-crack_n_4928066.html [huffingtonpost.jp]
「@wiki」で個人情報流出……全ユーザのパスワードを強制リセット(RBB TODAY)
http://www.rbbtoday.com/article/2014/03/09/117661.html [rbbtoday.com]
@wikiで登録ユーザー全員の情報流出 不正書き換え相次ぐ アクセスに注意を(ITmedia ニュース)
http://www.itmedia.co.jp/news/articles/1403/09/news007.html [itmedia.co.jp]
@wiki、ユーザーID・パスワードが流出。ページの改ざん被害も(INTERNET Watch)
http://internet.watch.impress.co.jp/docs/news/20140309_638779.html [impress.co.jp]
# SlashDot Light [takeash.net] やってます。
なんだこれ (スコア:2)
> パスワードは単一方向の暗号方式を用いておりますが、
> 暗号化されたパスワードから元のパスワードを推測し難い状況です。
> ただ、特定のサイトで単一方向の暗号方式を元に戻すサービスもあると伺っております。
ユーザーに分かりやすいように書いているのか?
単にわかってないだけなのか?
「単一方向の暗号方式を元に戻すサービスもあると伺っております。」
単一方向なら元に戻せない。
単一方向の暗号文から元の文字列を推測するだけかと。
なお簡単な可逆式暗号ならGoogle検索で元の文字列検索できます。
Re:なんだこれ (スコア:1)
パスワードはmd5で暗号化されているだけのようです
パスワードも数字だけだったので簡単に複合化出来ているようです
Re:なんだこれ (スコア:2)
「単一方向の暗号方式を元に戻すサービスもあると伺っております。」
について話してると思う。
Re: (スコア:0)
みんなはセキュリティの話をしているんで、
言葉の尻をつかまえて日本語の表現問題をやってるのはあんただけ
Re:なんだこれ (スコア:1)
>パスワードはmd5で暗号化
煽りでないです。「暗号化」というと、複合することを前提とするようなニュアンスを感じます
ので、MD5 や SHA-1 は「ハッシュ化」が適切と思いますが、どうでしょう。気にしすぎ?
Re: (スコア:0)
×複合化
〇復号
Re: (スコア:0)
「単一方向の暗号文から元の文字列を推測する」だろうと、結果的に元の文字列を見つけることに違いはないんだから、別に「元に戻す」で十分じゃね?
この場合、「推測する」「復号する」「変換する」とかいう手法の話じゃなくて、「元の文字列に戻せる」という可能性についての話なんだから。
極端な話、「暗号化された文字列を見ると、頭に神の声で元文字列が浮かぶ」という手法であっても、「元に戻す」という行為に変わりはないんだから。
Re: (スコア:0)
> 元の文字列を見つけることに違いはないんだから
元の文字列を見つけることはできない。
推測はできても。
Re:なんだこれ (スコア:1)
>元の文字列を見つけることはできない。
おそらく、ヒットしたものはコリジョンの可能性があるって事を言いたいのでしょうが。
前提条件を作れば出来ますよ。
例えば、パスワードにバイト配列や制御文字を設定するなんてまずありえないですから。
「パスワードはprintableなASCII文字列」という条件を与えます。これだけでコリジョンは"ほぼ"完全になくなります。
※salt無しの単純ハッシュ化が前提
今回はレインボーテーブルで検索できますから結果が1件なら絶対に元の文字列です
Re: (スコア:0)
>※salt無しの単純ハッシュ化が前提
そんなこと前提にしたらなんだって言えるね。
#「パスワードは数字1桁が前提」にしようぜ?
Re: (スコア:0)
今は@Wikiの話だという前提を無視されても困るって事だろ
"再発行ページ"は安全なのか (スコア:0)
そのページまで改竄されてたってオチだったりしないよね?
Re:"再発行ページ"は安全なのか (スコア:2, 参考になる)
というオチでした。 http://security.srad.jp/comments.pl?sid=625842&cid=2559605 [srad.jp]
(´;ω;`) (スコア:0)
捨てアドで作ったWikiだから再発行できない(´;ω;`)
Re: (スコア:0)
捨てアドで再度作ればいいと思うよ(´;ω;`)
Re: (スコア:0)
捨てアド「もう捨てられたくないよ(´;ω;`)」
Re:(´;ω;`) (スコア:2)
捨てられる為に世に生まれたのに。
Re: (スコア:0)
捨てアドを取得後、一通のメールが着信する。
開いてみると、、
件名:おひさしぶり
こんどは・・・捨てないでね
Re:(´;ω;`) (スコア:2)
捨てアドを見直すと、以前の捨てたアドレスであったという。
オフトピ
Re: (スコア:0)
思い出しちゃった;;
またメンション飛んでる (スコア:0)
このストーリーに@Wikiさんは関係ありませんよね。
https://twitter.com/slashdotjp/status/442532747534299137 [twitter.com]
http://it.srad.jp/comments.pl?sid=625109&cid=2553394 [srad.jp]
Re: (スコア:0)
ググラビリティに対する、
ツイータラビリティという概念の誕生か
Re: (スコア:0)
tweet + ablity ならツイータビリティでいいでしょうに
どこから「ラ」が出てきたんw
Re: (スコア:0)
??
Re: (スコア:0)
ツイータビリティだろってことだろ
Re: (スコア:0)
tweetter+ablityならラが出てきますね。
// まあtweetterはほとんど動詞化していないようなので無理筋か。
Re:またメンション飛んでる (スコア:3)
tweetter は tweeter (ツイートする人) のスペルミスだと思うけど、動詞ではないから -ability を付けるのは無理がある。
twitter 自体を「Twitter を使う」という意味の動詞として使うことは稀にあるようなので、 twitterability ならありうる形だけど、これだと片仮名にしたら「ツイッタラビリティ (ー)」だろう。
あと、そもそも #2559535 の人がどういう意味で「ツイータラビリティという概念」と書いたのか僕にはわからないけれど、意味によっては「ラ」が入るか入らないかとか「ー」か「ッ」かといった点以前におかしいという可能性もある。
これを期に (スコア:0, すばらしい洞察)
Wikipediaをwikiと略すのをやめてください。
Re:これを期に (スコア:2)
Wikipediaの話はしてねーよ。
Re:これを期に (スコア:1)
「wiki」とあるのが「Wikipedia」とはイコールでないということを認識してもらういい機会だ、ということじゃないのかな?
Re: (スコア:0)
@wikiは、Wikipediaじゃないですね。
Re: (スコア:0)
フフフ、話が空回りしていますね。
Re:これを期に (スコア:2)
atwiki使うのやめてmediawikiでサイト作って欲しいわ
atwiki使いにくいし見辛い
Re:これを期に (スコア:1)
明日にはWikipediaを見るとウィルスに感染する!って話が広まっているだろうな
Re: (スコア:0)
wiki→Wikipediaのように存在を認識した人は、wiki≠Wikipediaと認識しているんだけど、
wikiとWikipediaの区別を曖昧な状態で知識として取り入れた人は、
単にWikipediaの略称としてというだけでなく、Wikipediaをwikiの包含概念で最初から
捉えているフシがある。
つまりwikiサイトは十把一絡げで「wiki」扱いしていて、Wikipediaに権威を見る人に比べ、
Wikipediaも@wikiも同格に近い扱いで理解をしているのではと。
それでなおかつ、「Wikipediaがwikiの代表的サイトである」という見解は双方で一致してたりする。
「Wikipediaをwikiって略すな!」→「Wikipediaだってwikiなのに??」というやりとりには
そういう異なる内部理解の微妙なすれ違いがあるように思う。
略されているのは単なるスペルではなく、概念の方なのかもしれない。
Re: (スコア:0)
これを「機」に、ではないかな。
http://thesaurus.weblio.jp/content/%E3%81%93%E3%82%8C%E3%82%92%E6%A9%9... [weblio.jp]
Re: (スコア:0)
携帯電話を携帯と略すのをやめてください。と同じレベル
メールアドレスだけだから問題ない (スコア:0)
とか運営は思ってるんだろうな
アットフリークスはこれを機にメール転送サービスを作るべき (スコア:0)
・メールアドレス1つに対して1000個くらいの転送アドレスを持てる
・転送アドレスのローカル部は任意・ランダム・任意+ランダムのいずれかから選べる
・転送アドレスは一括管理できる
・転送アドレスは簡単に発行・削除できる
みたいなの
どのセキュリティホールを突かれたのかな? (スコア:0)
ずっと小規模とは言え、一応自分もサイト運営しているので戦々恐々。