サンリオタウン、アカウント情報330万件が公開状態になっていた 26
ストーリー by headless
公開 部門より
公開 部門より
サンリオの公式オンラインコミュニティサイト「サンリオタウン」のユーザーアカウント情報330万件を含むデータベースが公開状態になっていたそうだ(The SanrioTown OFFICIAL Blogの記事、
CSO Onlineの記事、
V3.co.ukの記事、
The Guardianの記事、
The Registerの記事)。
公開状態になっていたデータベースのレコードにはユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれるという。
この件についてサンリオは、サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表。設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと。なお、公開されていたデータベースには18歳未満のユーザーのレコード18万件以上が含まれるとのことだ。
公開状態になっていたデータベースのレコードにはユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれるという。
この件についてサンリオは、サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表。設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと。なお、公開されていたデータベースには18歳未満のユーザーのレコード18万件以上が含まれるとのことだ。
DBサーバにグルーバルIPアドレス振ってたの? (スコア:1)
ajaxなhtmlソースからバレた?
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:4, 興味深い)
>ajaxなhtmlソースからバレた?
多分No。
発見者であるChris Vickeryさんが、MacKeeperでユーザー情報が漏洩していることを発見した [krebsonsecurity.com]時にはShodanで27017番ポートが開いているサーバーを検索して見つけたと言っていました。
サンリオタウンの「サーバーの設定ミス」も、ポートが開いていてShodanで探索結果として掲載され、認証なしで操作できたのではないかと、私は推測しています。
Re: (スコア:0)
もう、「MongoDBの脆弱性」として騒ぐべきなのではないか?
Re: (スコア:0)
そこにいるエンジニアの脆弱性だし。
Oracleで
system/manager
scott/tiger
を有効にして無制限の権限与えてetc...と同じ。
こういう所はWindowsのAdministrator、Linuxのrootも同じことやってる可能性高い上に、自分達が絶対正義なんだよね。
ISO/IEEE規格ですら自分の意にそぐわないのはバグ呼ばわり(それ以前に知らない)。
そういうトコで反論しても味方は一人も居なかった上に人格攻撃と嫌がらせのオンパレードだったので、逃げる以外の術はないよ。
Re: (スコア:0)
まあ人格攻撃はされるだろうなあって感じの文章
Re: (スコア:0)
http://security.srad.jp/story/15/12/17/1649245/ [security.srad.jp]
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:3)
Re:DBサーバにグろーバルIPアドレス振ってたの? (スコア:0)
申し訳ない…年末特有の雰囲気(酔っぱらい)故のtypoです…
#恥ずかしいのでAC
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:1)
Webサーバーとか何か既知のIPと隣接してたのでは。
Re: (スコア:0)
> ajaxなhtmlソースからバレた?
ajaxなhtmlからDBを直にさすことはないでしょう?
それってやばいでしょう?
Re: (スコア:0)
>それってやばいでしょう?
でも楽でしょう?
Re: (スコア:0)
API立てたほうが楽です。
問題はそこじゃない (スコア:1)
これも本来はダブルチェックとかで防がれるべきモノではあるが、まあ設定ミスは起こりうるので、ある意味仕方ない。
(「仕方ない」と「責任を取る必要がない」はイコールではないのが前提で)
問題はそこじゃなくて、
ユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれる
ここだよね。これはもう、本来「設計をミスっちゃいました」で済まされる問題ではない。
なので、オフィシャルブログの
Measures to prevent recurrence
We installed additional security mechanisms on our servers. We will carry out periodic review of these security measures
は、そういう問題じゃねーだろって話。
最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
(セキュリティ機能の追加ももちろん有用ではあるが、結局それに穴があれば同じトラブルが再発するだけじゃん)
Re: (スコア:0)
長文を書いているわりに言いたいことが一言で済みそうな文章。
それに
> 最も必要なのはセキュリティ機能の追加じゃなく、暗号化できるようDB運用を見直すことだよって。
セキュリティ機能の追加が暗号化DB運用かもしれないじゃん?
Re: (スコア:0)
salt無しでのハッシュ化は何時になったら無くなるのやら...
このまま無くならないのなら、いっそ法規制かけてほしい
未成年の人数が多いがちゃんと数えられてる (スコア:0)
日本だとそういうのは何ら発表られないよねえ。
office氏事件を思い出す (スコア:0)
> 設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと
報告者はアクセス可能か否かだけ確認して報告したってことか?
Re:office氏事件を思い出す (スコア:1)
そうなんじゃない?
・実際にDB情報が漏れてる
・DBのポートが開いていて、接続可能
という状況さえ分かれば、わざわざ辞書攻撃でログインを試行した上、
DBの情報を根こそぎ取得可能かどうかなんて調べる前に通報するんじゃ
ないかな。それが悪用可能か否かはサンリオが調べれば良いこと。
下手に「悪用が可能なこと」を証明してしまうと、最悪逆切れで
通報されかねないし。
報道の反応が薄いと思ったら (スコア:0)
海外向けサイトなのか(だからどうでもいいってわけじゃないが)
どうせならサンリオSF文庫の資料でも流出させておけば、一部の人間は喜んだだろうに
喜ぶ一部の人 (スコア:1)
1985年とかスラディックのキリンを燃やし続けろとか…
PHPなので、phpMyAdmin (スコア:0)
PHPなので、phpMyAdminでパスワード無しでアクセスできたとか。
Re: (スコア:0)
> PHPなので、phpMyAdminでパスワード無しでアクセスできたとか。
それをデータベースが公開状態というのか?言わないだろう?
Re: (スコア:0)
元記事読め。mongoDBって書いてあるだろ。
「パスワードのヒントと答え」とは (スコア:0)
ただのヒントだったら答えも何もいらないしな。パスワードリセットの質問とその答えかな?
だとしたら答えもハッシュ化されていると思うんだけどな…
Re: (スコア:0)
> だとしたら答えもハッシュ化されていると思うんだけどな…
なんで?
それが漏れてパスワードリセットが出来るようになったとしても登録メールアドレスを読めないと先に進めなくないですか?
Re:「パスワードのヒントと答え」とは (スコア:1)
メールアドレスが再利用されたり、盗聴されたり、乗っ取られたりされている場合も想定するので、答えもハッシュ化するのが当然だと思います。
けど特に日本語は全角半角や空白の有無など表記ゆれがでるので、徹底的に正規化しておかないとあわなくなる。