BL特化SNSのpictBLandが不正アクセス、ユーザーのパスワードも流出で被害拡大 61
ストーリー by nagazou
大被害 部門より
大被害 部門より
ボーイズラブ(BL)に特化したイラスト・小説投稿SNS「pictBLand」およびオンライン即売会サービス「pictSQUARE」の運営会社であるGMWは15日、データベースに不正アクセスがあり、第三者によって情報が流出した可能性があると発表した(pictBLand公式Xポスト、ねとらぼ)。
流出した可能性がある情報には、pictBLandのログインメールアドレス、ログインパスワード、pictSQUAREのログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報が含まれるという。同社は現在両サイトのサーバを停止し、pictSQUAREの振込先口座情報や配送先住所情報を削除したと説明している。復旧時期は判明次第連絡するとしている。pictBLandでは14日以降、不審な表示やリダイレクトが発生する問題が起きていたという(ねとらぼ)。
あるAnonymous Coward 曰く、
流出した可能性がある情報には、pictBLandのログインメールアドレス、ログインパスワード、pictSQUAREのログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報が含まれるという。同社は現在両サイトのサーバを停止し、pictSQUAREの振込先口座情報や配送先住所情報を削除したと説明している。復旧時期は判明次第連絡するとしている。pictBLandでは14日以降、不審な表示やリダイレクトが発生する問題が起きていたという(ねとらぼ)。
あるAnonymous Coward 曰く、
Twitter情報だと犯人が盗んだDBを売ろうと投稿していたようだ。パスワードはSalt無しのMD5で保存されていたという事で、簡単に復号されて、X (Twitter) でID/パスワードを使い回しているアカウントが多数乗っ取られている模様(Togetter)。
配送先住所情報ってつまり (スコア:2)
住所・氏名・電話番号がセットで漏れたってことで一番ヤバいのでは
しかもこれ腐女子御用達のBL創作サイトなので閲覧だけじゃなく創作もやってるユーザーの場合はどんな腐妄想をしていたまでセットでバレちゃうわけで
ある日突然自分ちの玄関に自作ナマモノBL小説のプリントアウトが貼られるかもしれないと思うとユーザーは気が気じゃないだろうな
ある意味一番クリティカルな個人情報漏洩かもしれん
Re: (スコア:0)
趣味でやってて隠してる人が職場に自分の作品を送られるケースの方が怖いな
Re: (スコア:0)
登場人物のモデルが職場の人の場合、考えたくもないですね。
作者側はもちろん登場人物側も。
Re: (スコア:0)
情報はダークウェブで9万円で売られてるそうだから、そんなにコストかからずカジュアルに嫌がらせできるな
Re: (スコア:0)
昔、同じようなことをやらかしたメッセサンオーは潰れましたけど、今回はどうですかね。
Re: (スコア:0)
クリティカルといえば20年ぐらい前のTBCの情報流出 [srad.jp]を思い出す。
当時特定のcgiのファイル名を検索するだけで流出の可能性がある
サイトを見つけられるという話が某巨大掲示板で話題になって
一気に祭りになったんだっけ?
ただクリティカルという意味ではTBCが一番ヤバかった。
住所氏名年齢といった個人情報だけでなく3サイズなんかも
流出したからなあ。
Re: (スコア:0)
ある意味ジャンル的には関連ストーリー?
https://security.srad.jp/story/09/01/18/067235/ [security.srad.jp]
つい最近と思ってたけど、結構前だった・・・
Re: (スコア:0)
既婚者向けSNSから3700万人超の会員情報が流出
https://security.srad.jp/story/15/07/22/0516255/ [security.srad.jp]
嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出
https://security.srad.jp/story/22/08/17/1447236/ [security.srad.jp]
昨日の話 (スコア:0)
妻 「こんなお知らせが来たんだけど、大丈夫かな」
オレ 「アカウントを作っていなければ、大丈夫なんじゃないの」
妻 「よかった。Twitter連携しただけだったから」
オレ 「で、どういうこと?」
妻 「……」
Re: (スコア:0)
互いに性癖をさらしてさらに仲良くなるチャンス。
Re: (スコア:0)
ホモが嫌いな女子なんていないそうですよ
パスワード管理ツールを使え (スコア:0)
「管理ツールからまとめてパスワードが盗まれたら…」
「JSで動くブラウザ拡張にパスワードを任せるなんて…」
「数十桁のパスワードなんか使わなくても3箇所ずつ使い回して9文字くらいなら…」
うるせえ使わなかったらこうやって抜かれんだ黙ってツール使えサイト別の大小数字記号24桁ランダム設定しろ
ということですね
Re: (スコア:0)
それやってたら運営会社から漏れることはなかったんですか
この手の話で (スコア:0)
セキュリティの専門家が「パスワードの使い回しは辞めましょう」はわかるんだけど
サービス提供側が「パスワードの使い回しは辞めましょう」って言い出すの毎回それはちがくない?ってなる
多要素認証なりを実装してサービス提供側は防ぐべきであって
ログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけど
これも一種のダークパターンじゃない?
Re: (スコア:0)
多くのサービスが採用してる「メールアドレスがユーザID」っていうのが良くないんだよな。
サービス側がメールアドレスとは別にIDを振りだすべきだと思うんだが。
Re: (スコア:0)
そうするとID連番攻撃とかを踏む可能性がある。メールアドレスなら利用者の責任にできる
Re:この手の話で (スコア:2)
メールはメールで当該ユーザのIDが確実に定まるとか、登録の有無を確認できる問題があるんですよ。ログインはランダム数字のIDとサイト側発行の初期パスワードで、リセットのみメールで対応くらいがバランスいいんじゃないでしょうか。
Re: (スコア:0)
ID連番・・・?推測可能な連番のIDを割り振り方がどうかしてると思うが・・・
後、かつパスワードが一致しないとダメなんだから別に異常検知で引っかかるだろ
Re: (スコア:0)
サービス毎にIDまで覚えないといけないとなるともう人力は無理やな。
ってそれサービス側でPW発行すれば同じことでは?!
Re: (スコア:0)
極論、メールリンク認証が最強だと思いますよ
責任問題をメアド側のアカウント管理に依存させられるから。
僕も利用頻度が低い場所についてはパスワード覚えるの面倒なので
毎回パスワード再発行してログインしてますし(1年に2回使うかどうかのサービス)
Re: (スコア:0)
それはユーザ指定パスワードとは別に、システム提供パスワードがあるだけみたいな、
けっきょく、このサービスのユーザー名って何だっけ?ってなるオチがつくだけというか。
ユーザーにパスワード作らせる意味はあるのか、、(アクセストークン発行でいいのでは)
Re: (スコア:0)
picなんとか「使い回しはやめよう」
は論外だったわけだけど、
他のまともなサービス「使い回しはやめよう」
はアリじゃないかな。まず、「picなんとかから流出したパスワードでログインを試行される」のは他のまともなサービス側には防ぎようが無い。
多要素認証を入れてると、パスワードを使い回してたユーザに不正ログイン試行由来の通知ががんがん飛ぶことになる。そしてそういうユーザが問題を正確に理解出来る可能性は低そうなので、変な通知が止まらないんだけど、みたいな余計なクレーム対応のコストが生じる。
Re: (スコア:0)
> ログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけど
ローカルで保存すれば解決? (スコア:0)
OAUTH2認証でログインする形にして、ローカルでOAUTH2のアクセストークンを保管しておけばこの手の攻撃には強くなるんだろうか…
Re:ローカルで保存すれば解決? (スコア:1)
認可サーバが不正アクセスされてMD5でハッシュしただけのパスワードが流出しないのなら強くなる。
一般に、認可サーバはさすがにちゃんと考えて実装されているので安全なことが多いと推定されるってくらい。
平文保存? (スコア:0)
そもそもとして、パスワードが平文保存されていたと言う指摘がありますね。
運営の発表でも単に「ログインパスワード」と書かれていてハッシュ化されているとは書かれていません。
乗っ取られたXアカウント数から考えても平文が保存されていた可能性もそれなりにありそうです。
Xでは2017年の時点でパスワードを忘れたと問い合わせたら、平文が送られてきたと言う話がありました。
2020年の時点で平文が送られてくるのではなく再設定する形になっていた事から、ハッシュ化されていると推測している人もいましたが内部が平文のままだった可能性もありそうです。
その場合、裁判になったら高確率で重過失と判断されるでしょうし、サービスの存続は難しいかもしれません。
Re: (スコア:0)
推測じゃなくて盗んだ奴がMD5のハッシュって言ってんだけど。
そんでもって60万7千件中29万4512件は復号済みなんだと。
表に出てない事情を汲んで擁護してあげるならまだしも、妄想で叩くのはいい加減やめろよ。少しは学習して。
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/08/17/030141 [hatenadiary.jp]
Re: (スコア:0)
その盗んだ人の投稿ってサイトで乗っ取られたメッセージが表示された後みたいだけど、この手の流出で付き物の便乗の詐欺じゃないって確認は取れてるの?盗んだ情報を持ってる本人って断定する情報って出てます?
Re: (スコア:0)
そんなケチつけるよりおまえの妄想の根拠を示すのが先では。裁判になったら高確率で名誉棄損と判断されるぞ。
特殊書店の情報流出 (スコア:0)
があったら面白そうだな
メロンとかとらのあなとか
Re: (スコア:0)
昔メッセサンオーという同人ショップが情報流出を起こしたことがあってだな
Re: (スコア:0)
>それぞれのダイジェスト値に対してあり得るパスワードは無限に存在するので。
いや、漏れたのはMD5のハッシュ値でそれに対してあり得るパスワードは一つしか存在しない。
Re:復号 (スコア:1)
違うでしょ
もうMD5なんて衝突させられるからMD5ハッシュから元の文字列がわからなかったとしても
MD5に対してどういう文字列をINすれば同じOUTが得られるのかわかっちゃう
だから、実際passwordをMD5ハッシュで12345って得られたときにdrowssapでも12345が出力されたり
passw0rdでも同じ出力が得られるので候補はいくつかにはなる
ただ、それらを洗い出していって総当たりすればいずれは入れちゃうからだめってお話
Re: (スコア:0)
そんな衝突しない理想的なハッシュがあるといいですね。
Re: (スコア:0)
MD5はたかが2^128通りしかないので
別に同じ結果になるMD5に対するINは探せば大量にある
Re: (スコア:0)
Re: (スコア:0)
いや、MD5はもうだめです
https://www.ipa.go.jp/archive/security/reports/crypto/gmcbt80000005wep... [ipa.go.jp]
既にSHA1についても使うのは辞めた方が良いレベル
Re: (スコア:0)
スラドでも15年ぐらい前に同様のタレコみ [srad.jp]があった。
Re: (スコア:0)
Linuxのgitリポジトリに攻撃かけるやつとかいないのかな?
commit idってSHA1だよね?
pushできないだけ?
Re: (スコア:0)
MD5ハッシュはたかだか2^128通りしか存在しないのに対して入力はいくらでも長くできるから何も大げさではないが。
Re: (スコア:0)
世のパスワード入力欄は、たいていいくらでも長くできないよ。なんならMAX8文字だったりする(死
Re: (スコア:0)
そのレベルの知識で他人に教えるのはただ迷惑の拡散だからやめときなよ
Re: (スコア:0)
ちなみにこの手のデータベースに不正アクセスされてユーザ情報をごっそりいかれるタイプはSaltもいっしょにいかれるんだよな?
Re:復号 (スコア:2)
saltやストレッチングがない場合は構築済みのレインボーテーブルだかなんだかで攻略されるので総当たりが不要になります。既存の計算済みハッシュが使えない場合、その流出データ用に総当たりハッシュ表を起こす必要があるので総当たりが不可避になります。そのためのsaltです。
Re: (スコア:0)
レインボーテーブルって総当たりみたいなものだと思ってたけどだいぶ効率が違うのね。なるほど。
Re: (スコア:0)
Salt無しのMD5とわかってるなら、ディクショナリーアタックよりレインボーアタックを使うでしょう。
Re: (スコア:0)
Salt無しのMD5なテーブルに辞書攻撃を仕掛けようとしたら自然とレインボーテーブル攻撃で実装すると思う。その実装方法は思いつかなかったー、ってやつは出直してきた方が良い。真面目に攻撃者の立場に立って考えたことがない場合は、あー、その方法があったかー、というのはままありそうなので、注意喚起のためにレインボーテーブルと名付けるのは意味があるけど。
Re: (スコア:0)
同じハッシュが生成できるなら実際はどのパスワードだったかなんて攻撃者にとってはどうでもいい
Re:復号 (スコア:1)
リスアカで(Saltつきとか、SHAとか、ストレッチングとかして)パスワードを保存しているはずの)他の使うんだとしたら実際のパスワードがわからないとだめでしょうが
Re: (スコア:0)
saltを使ってないから、既存のMD5のレインボーテーブルが使えるんじゃね?