2015年の不正アクセスで流出した平文PW見つかる、報償金制度で - Slack

当初は、利用者の端末においてマルウェアにより窃取されたものや、他サービスにおいて使い回されたアカウント情報が流出したものと疑われたが、その後の調査で報告を受けたメールアドレスとパスワードの組み合わせの一部が現在でも有効であり、当時流出したものであることが判明。

さらに2015年当時の発表では、侵害を受けたデータベースに保存されていたパスワードについて、ソルトの追加後、ハッシュ化を実施していることを強調していたが、今回の発表で不正なコードを埋め込まれ、ハッシュ化を行う前のパスワードが窃取されたとし、今回流出が確認された対象アカウントに対してリセットを実施。事情を説明するとともに謝罪している。

また今回の問題を受けて、報告に含まれていないアカウントに対する措置もあわせて実施。具体的には2015年3月以前に作成され、同月以降にパスワードが変更されておらず、シングルサインオンプロバイダーを利用したログインを必須としていないアカウントについてもパスワードをリセットした。

リセットの対象となるアカウントは、全体の約1％にあたり、これらのアカウントに対する不正アクセスは確認されておらず、影響はないと同社は説明。今回報告を受けたアカウント以外のパスワードリセットは「あくまで予防措置」としている。

（Security NEXT - 2019/07/19 ） ツイート

PR

関連記事

「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
人事情報の不正閲覧で職員2人を処分、以前から漏洩のうわさ - 筑前町
印刷に利用した患者情報含む私物USBメモリが所在不明に - 愛知県
高校生徒の写真データ含む私物スマホを紛失 - 大阪府
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
中学校で生徒の個人情報含むUSBメモリを紛失 - 高槻市
霊園使用者の個人情報含むUSBメモリを紛失 - 岩見沢市
組合加入事業所の個人情報を他社へ誤提供 - 土健保
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町
USBメモリを紛失、暗号化済みだがPW貼付 - NEXCO西日本