パスワードを忘れた? アカウント作成
16725216 story
SNS

BL特化SNSのpictBLandが不正アクセス、ユーザーのパスワードも流出で被害拡大 61

ストーリー by nagazou
大被害 部門より
ボーイズラブ(BL)に特化したイラスト・小説投稿SNS「pictBLand」およびオンライン即売会サービス「pictSQUARE」の運営会社であるGMWは15日、データベースに不正アクセスがあり、第三者によって情報が流出した可能性があると発表した(pictBLand公式Xポストねとらぼ)。

流出した可能性がある情報には、pictBLandのログインメールアドレス、ログインパスワード、pictSQUAREのログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報が含まれるという。同社は現在両サイトのサーバを停止し、pictSQUAREの振込先口座情報や配送先住所情報を削除したと説明している。復旧時期は判明次第連絡するとしている。pictBLandでは14日以降、不審な表示やリダイレクトが発生する問題が起きていたという(ねとらぼ)。

あるAnonymous Coward 曰く、

Twitter情報だと犯人が盗んだDBを売ろうと投稿していたようだ。パスワードはSalt無しのMD5で保存されていたという事で、簡単に復号されて、X (Twitter) でID/パスワードを使い回しているアカウントが多数乗っ取られている模様(Togetter)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 住所・氏名・電話番号がセットで漏れたってことで一番ヤバいのでは
    しかもこれ腐女子御用達のBL創作サイトなので閲覧だけじゃなく創作もやってるユーザーの場合はどんな腐妄想をしていたまでセットでバレちゃうわけで

    ある日突然自分ちの玄関に自作ナマモノBL小説のプリントアウトが貼られるかもしれないと思うとユーザーは気が気じゃないだろうな

    ある意味一番クリティカルな個人情報漏洩かもしれん

    • by Anonymous Coward

      趣味でやってて隠してる人が職場に自分の作品を送られるケースの方が怖いな

      • by Anonymous Coward

        登場人物のモデルが職場の人の場合、考えたくもないですね。
        作者側はもちろん登場人物側も。

    • by Anonymous Coward

      情報はダークウェブで9万円で売られてるそうだから、そんなにコストかからずカジュアルに嫌がらせできるな

    • by Anonymous Coward

      昔、同じようなことをやらかしたメッセサンオーは潰れましたけど、今回はどうですかね。

    • by Anonymous Coward

      クリティカルといえば20年ぐらい前のTBCの情報流出 [srad.jp]を思い出す。
      当時特定のcgiのファイル名を検索するだけで流出の可能性がある
      サイトを見つけられるという話が某巨大掲示板で話題になって
      一気に祭りになったんだっけ?
      ただクリティカルという意味ではTBCが一番ヤバかった。
      住所氏名年齢といった個人情報だけでなく3サイズなんかも
      流出したからなあ。

    • by Anonymous Coward

      ある意味ジャンル的には関連ストーリー?
      https://security.srad.jp/story/09/01/18/067235/ [security.srad.jp]

      つい最近と思ってたけど、結構前だった・・・

    • by Anonymous Coward

      既婚者向けSNSから3700万人超の会員情報が流出
      https://security.srad.jp/story/15/07/22/0516255/ [security.srad.jp]

      嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出
      https://security.srad.jp/story/22/08/17/1447236/ [security.srad.jp]

    • by Anonymous Coward

      妻 「こんなお知らせが来たんだけど、大丈夫かな」
      オレ 「アカウントを作っていなければ、大丈夫なんじゃないの」
      妻 「よかった。Twitter連携しただけだったから」
      オレ 「で、どういうこと?」
      妻 「……」

      • by Anonymous Coward

        互いに性癖をさらしてさらに仲良くなるチャンス。

      • by Anonymous Coward

        ホモが嫌いな女子なんていないそうですよ

  • by Anonymous Coward on 2023年08月17日 12時07分 (#4511968)

    「管理ツールからまとめてパスワードが盗まれたら…」
    「JSで動くブラウザ拡張にパスワードを任せるなんて…」
    「数十桁のパスワードなんか使わなくても3箇所ずつ使い回して9文字くらいなら…」

    うるせえ使わなかったらこうやって抜かれんだ黙ってツール使えサイト別の大小数字記号24桁ランダム設定しろ
    ということですね

    • by Anonymous Coward

      それやってたら運営会社から漏れることはなかったんですか

  • by Anonymous Coward on 2023年08月17日 12時47分 (#4511991)

    セキュリティの専門家が「パスワードの使い回しは辞めましょう」はわかるんだけど
    サービス提供側が「パスワードの使い回しは辞めましょう」って言い出すの毎回それはちがくない?ってなる
    多要素認証なりを実装してサービス提供側は防ぐべきであって
    ログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけど
    これも一種のダークパターンじゃない?

    • by Anonymous Coward

      多くのサービスが採用してる「メールアドレスがユーザID」っていうのが良くないんだよな。
      サービス側がメールアドレスとは別にIDを振りだすべきだと思うんだが。

      • by Anonymous Coward

        そうするとID連番攻撃とかを踏む可能性がある。メールアドレスなら利用者の責任にできる

        • by 90 (35300) on 2023年08月17日 16時59分 (#4512200) 日記

          メールはメールで当該ユーザのIDが確実に定まるとか、登録の有無を確認できる問題があるんですよ。ログインはランダム数字のIDとサイト側発行の初期パスワードで、リセットのみメールで対応くらいがバランスいいんじゃないでしょうか。

          親コメント
        • by Anonymous Coward

          ID連番・・・?推測可能な連番のIDを割り振り方がどうかしてると思うが・・・
          後、かつパスワードが一致しないとダメなんだから別に異常検知で引っかかるだろ

      • by Anonymous Coward

        サービス毎にIDまで覚えないといけないとなるともう人力は無理やな。
        ってそれサービス側でPW発行すれば同じことでは?!

        • by Anonymous Coward

          極論、メールリンク認証が最強だと思いますよ
          責任問題をメアド側のアカウント管理に依存させられるから。

          僕も利用頻度が低い場所についてはパスワード覚えるの面倒なので
          毎回パスワード再発行してログインしてますし(1年に2回使うかどうかのサービス)

      • by Anonymous Coward

        それはユーザ指定パスワードとは別に、システム提供パスワードがあるだけみたいな、
        けっきょく、このサービスのユーザー名って何だっけ?ってなるオチがつくだけというか。
        ユーザーにパスワード作らせる意味はあるのか、、(アクセストークン発行でいいのでは)

    • by Anonymous Coward

      picなんとか「使い回しはやめよう」

      は論外だったわけだけど、

      他のまともなサービス「使い回しはやめよう」

      はアリじゃないかな。まず、「picなんとかから流出したパスワードでログインを試行される」のは他のまともなサービス側には防ぎようが無い。

      多要素認証を入れてると、パスワードを使い回してたユーザに不正ログイン試行由来の通知ががんがん飛ぶことになる。そしてそういうユーザが問題を正確に理解出来る可能性は低そうなので、変な通知が止まらないんだけど、みたいな余計なクレーム対応のコストが生じる。

      • by Anonymous Coward

        > ログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけど

  • by Anonymous Coward on 2023年08月17日 12時59分 (#4512003)

    OAUTH2認証でログインする形にして、ローカルでOAUTH2のアクセストークンを保管しておけばこの手の攻撃には強くなるんだろうか…

  • by Anonymous Coward on 2023年08月17日 15時08分 (#4512102)

    そもそもとして、パスワードが平文保存されていたと言う指摘がありますね。
    運営の発表でも単に「ログインパスワード」と書かれていてハッシュ化されているとは書かれていません。
    乗っ取られたXアカウント数から考えても平文が保存されていた可能性もそれなりにありそうです。
    Xでは2017年の時点でパスワードを忘れたと問い合わせたら、平文が送られてきたと言う話がありました。
    2020年の時点で平文が送られてくるのではなく再設定する形になっていた事から、ハッシュ化されていると推測している人もいましたが内部が平文のままだった可能性もありそうです。
    その場合、裁判になったら高確率で重過失と判断されるでしょうし、サービスの存続は難しいかもしれません。

    • by Anonymous Coward

      推測じゃなくて盗んだ奴がMD5のハッシュって言ってんだけど。
      そんでもって60万7千件中29万4512件は復号済みなんだと。
      表に出てない事情を汲んで擁護してあげるならまだしも、妄想で叩くのはいい加減やめろよ。少しは学習して。

      不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた
      https://piyolog.hatenadiary.jp/entry/2023/08/17/030141 [hatenadiary.jp]

      • by Anonymous Coward

        その盗んだ人の投稿ってサイトで乗っ取られたメッセージが表示された後みたいだけど、この手の流出で付き物の便乗の詐欺じゃないって確認は取れてるの?盗んだ情報を持ってる本人って断定する情報って出てます?

        • by Anonymous Coward

          そんなケチつけるよりおまえの妄想の根拠を示すのが先では。裁判になったら高確率で名誉棄損と判断されるぞ。

  • by Anonymous Coward on 2023年08月17日 16時47分 (#4512187)

    があったら面白そうだな
    メロンとかとらのあなとか

    • by Anonymous Coward

      昔メッセサンオーという同人ショップが情報流出を起こしたことがあってだな

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...