チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 14
ストーリー by nagazou
関連発表はこれから増えると見られる 部門より
関連発表はこれから増えると見られる 部門より
イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16~17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている(Peatix、CNET)。
この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
情報法制研究所のイベントでもPeatixつこうた (スコア:1)
jbeef先生でおなじみJILISのイベントもここで募集してましたね。やだな。
> なお、今後のイベントでのPeatixの利用について、一時中止いたします。
とのこと。
Peatixからは連絡なし (スコア:0)
Peatixユーザーのはずなのに、Peatixからは連絡がない。
こんな形で情報漏洩を知るなんて。
Re: (スコア:0)
パスワードリセットもされているので、登録しているメールアドラス宛に届いてますよ。
Re: (スコア:0)
おかしいな。届いていないぞ。
SNS使ったログインでは漏れていなくて、メールアドレスをIDに直接アカウント作った場合のみが対象のようだが。私は該当するはずだが。
Re: (スコア:0)
うちも届いていないですね。
以前の職場のメールアドレス(転送設定済みで生きている)で登録していて、以前の職場から「あなたのアカウントが漏洩の対象でした」という連絡は来ましたが、当該メールアドレス宛にPeatixからは連rカウが来ていないです。
以前の職場は、どうやって私のメールアドレスが漏洩対象だということを知ったのでしょうか。。ドメイン単位で連絡が届いているとか?
Re: (スコア:0)
667万件のユーザーに一斉メール送ると確実にスパム判定されるので、徐々に送っている可能性がある
Re: (スコア:0)
(#3927800)と(#3927803)を書いた者です。昨日届きました。送信日時は
>Date: Mon, 23 Nov 2020 01:03:41 +0000 (UTC)
>本メールをお送りさせていただきましたお客様に関しましては、今回の事象により、不正にお客様情報が引き出された事実は確認されておりません。
だそうで。最大677万件(ほぼ日本人)に私の情報は含まれなかった?
>ソーシャルメディアとのログイン連携にてご登録されたお客様の個人情報に関しては、暗号化されたパスワードは保持しておりません。そのため、ソーシャルメディアとのログイン連携にてご登録されたお客様に関しては、本件において暗号化されたパスワードが引き出された事実は確認されておりません。
この書きぶりだとSNS経由ログインでもパスワード以外は漏れている?
>11月15日にアカウントのセキュリティの万全を期すため、全てのパスワードの再設定が必須となる措置を行いました。
漏れていなくても全員が対象なのかな?
Re: (スコア:0)
うちも来てないしアプリでそのままログインできた。自分で変えてみた。
暗号化されたパスワード (スコア:0)
暗号化されたパスワードってかかれると、復元が可能なように聞こえるけど
こう書かれた場合ってハッシュ化も含むものなんですかね
Re:暗号化されたパスワード (スコア:2, 参考になる)
暗号化の定義にハッシュ化を含むかどうかは議論の的だと思いますが、今回はどういうわけかSalt付SHA1によるハッシュ化パスワードから割り出したと見られる平文パスワード112万件がハッキングフォーラムで公開されているそうで、復号されたとみて行動した方がよいです。
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog [hatenadiary.jp]
https://twitter.com/piyokango/status/1328819030715600896 [twitter.com]
https://twitter.com/furatocoin/status/1328910262062116870 [twitter.com]
Re: (スコア:0)
もしかしたら、辞書攻撃してdehashしただけかもしれない……。
どっかのバグ有りサンプルプログラムをコピっていて、塩が一緒でレインボーテーブルが既に準備済みだったとかだったら笑うしかないけど。
何かのログに生パスワードが吐かれてたとか、プログラムが改変されてたとか、SSL/TLSアクセラレータやリバースプロキシがやられてタップされてたとか。
東映ビデオ [security.srad.jp]のカード情報流出と言い、何か未知の穴を突かれてる気がして仕方ない。
自治体に限らず (スコア:0)
民間企業も使ってますし。
https://www.panasonic.com/jp/corporate/20201119.html [panasonic.com]
https://www.maximize.co.jp/news/20201118/ [maximize.co.jp]
https://www.delonghi.co.jp/public-data/news/4/372/files/Peatix%E3%81%A... [delonghi.co.jp]
Re: (スコア:0)
コロナ禍で音楽の配信ライブが増えたが、その有料プラットフォームとして利用していた。
有料配信プラットフォームは他にもイープラスとかツイキャスとかTiGETとかZAIKOとか多数あるが、主催者側が選択するものなので視聴者側としては選択の余地がない。
つーことで私の情報もだた漏れと思われ。