2015年の不正アクセスで流出した平文PW見つかる、報償金制度で - Slack

当初は、利用者の端末においてマルウェアにより窃取されたものや、他サービスにおいて使い回されたアカウント情報が流出したものと疑われたが、その後の調査で報告を受けたメールアドレスとパスワードの組み合わせの一部が現在でも有効であり、当時流出したものであることが判明。

さらに2015年当時の発表では、侵害を受けたデータベースに保存されていたパスワードについて、ソルトの追加後、ハッシュ化を実施していることを強調していたが、今回の発表で不正なコードを埋め込まれ、ハッシュ化を行う前のパスワードが窃取されたとし、今回流出が確認された対象アカウントに対してリセットを実施。事情を説明するとともに謝罪している。

また今回の問題を受けて、報告に含まれていないアカウントに対する措置もあわせて実施。具体的には2015年3月以前に作成され、同月以降にパスワードが変更されておらず、シングルサインオンプロバイダーを利用したログインを必須としていないアカウントについてもパスワードをリセットした。

リセットの対象となるアカウントは、全体の約1％にあたり、これらのアカウントに対する不正アクセスは確認されておらず、影響はないと同社は説明。今回報告を受けたアカウント以外のパスワードリセットは「あくまで予防措置」としている。

（Security NEXT - 2019/07/19 ） ツイート

PR

関連記事

教員がサポート詐欺被害、学生情報流出のおそれ - 山形大
新人教育で使用するUSBメモリを紛失、内部に評価表 - 砂川市立病院
図書館の公開文書で個人利用者番号が参照可能に - 名古屋市
個人情報含むファイルを複数行政機関へ誤送信 - 長野県
大学病院の患者情報含むUSBメモリが所在不明 - 兵医大
臨時業務用PC2台を紛失、リース返却時に判明 - 栃木県
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破
県立校でメール誤送信、メアド入力やPW設定でミス重なる - 新潟県
委託先海外駐在員が業務用PCとスマホを盗まれる - 宮城県
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入