2015年の不正アクセスで流出した平文PW見つかる、報償金制度で - Slack
当初は、利用者の端末においてマルウェアにより窃取されたものや、他サービスにおいて使い回されたアカウント情報が流出したものと疑われたが、その後の調査で報告を受けたメールアドレスとパスワードの組み合わせの一部が現在でも有効であり、当時流出したものであることが判明。
さらに2015年当時の発表では、侵害を受けたデータベースに保存されていたパスワードについて、ソルトの追加後、ハッシュ化を実施していることを強調していたが、今回の発表で不正なコードを埋め込まれ、ハッシュ化を行う前のパスワードが窃取されたとし、今回流出が確認された対象アカウントに対してリセットを実施。事情を説明するとともに謝罪している。
また今回の問題を受けて、報告に含まれていないアカウントに対する措置もあわせて実施。具体的には2015年3月以前に作成され、同月以降にパスワードが変更されておらず、シングルサインオンプロバイダーを利用したログインを必須としていないアカウントについてもパスワードをリセットした。
リセットの対象となるアカウントは、全体の約1%にあたり、これらのアカウントに対する不正アクセスは確認されておらず、影響はないと同社は説明。今回報告を受けたアカウント以外のパスワードリセットは「あくまで予防措置」としている。
(Security NEXT - 2019/07/19 )
ツイート
関連リンク
PR
関連記事
持込用学習端末のECサイトにサイバー攻撃 - 個人情報流出の可能性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
予約管理システムが侵害、個人情報が流出 - アソビュー
PC83台が所在不明、委託先従業員が盗難容疑で逮捕 - 浦添市
患者情報含むUSBメモリが所在不明 - 長崎みなとメディカルセンター
出張先の移動中にPCを置き忘れて紛失 - 高知工科大
都職員向けサイトでアクセス制御不備 ‐ 個人情報へアクセス可能に
学校で図書の貸出情報含むUSBメモリを紛失 - 関市
カーインテリア通販サイトに不正アクセス - 個人情報流出の可能性
利用者ページにサイバー攻撃、詳細を調査 - 消費者金融事業者

