Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Have I Been Pwnedはメディア化している

The NEWS Minuteにインドのオンライン旅行予約プラットフォームを展開するYatra.comの500万件のデータ漏えい事件が載っていました。

www.thenewsminute.com

 

◆キタきつねの所感

記事を見ると、2013年のデータ侵害事件が、Have I Been Pwnedに掲載されたので調べてみたら侵害の事実が分かったので発表したという状況のようです。

このサイトのRecently Added breaches(トップページ右下の方)を見ていると、最近どんな漏えいデータが追加されたか(判明したか)が分かります。500万件超のデータ漏えい・・・問題なのが、5年間漏えいに気づいてなかった訳ですので、同じIDとパスワードが色々な別サイトで使われていた場合、500万人のユーザは別サイトで被害を受けていても気づかなかった可能性がある事です。

f:id:foxcafelate:20180707112643j:plain

また、漏えいしたデータについては、

f:id:foxcafelate:20180707112954j:plain

In September 2013, the Indian bookings website known as Yatra had 5 million records exposed in a data breach. The data contained email and physical addresses, dates of birth and phone numbers along with both PINs and passwords stored in plain text. The site was previously reported as compromised on the Vigilante.pw breached database directory.

Breach date: 1 September 2013
Date added to HIBP: 4 July 2018
Compromised accounts: 5,033,997
Compromised data: Dates of birth, Email addresses, Names, Passwords, Phone numbers, Physical addresses, PINs

生年月日、eメールアドレス、氏名、パスワード、電話番号、郵送住所、暗証番号となっています。漏れている個人情報を考えると、色々と不正に利用できてしまえそうな情報まで含まっています。旅行予約に必要なデータが漏えいした際の影響度の大きさを改めて感じます。

 

何の脆弱性を突かれたのかは分かりませんが、後々もしかすると「暗証番号とパスワードが平文で保存されていた」事については訴訟問題にまで発展してしまうかも知れません。どういった実装だっかは分かりませんが、個人情報を取り扱う事業者として平文でのパス保存(していたのだとすれば)についてはセキュリティ不備を指摘されても仕方が無いと思います。

 

標題部分に戻ると、特に今年に入ってのTroy Hunt氏の発信する情報は、日本だけでなく世界に影響を与え続けています。元FBI長官ロバート・ミュラー氏は、以前サイバー脅威についてこうした言葉を残しています。

"There are only two types of companies: Those that have been hacked, and those that will be."

組織には2タイプしかない。既にハッキングされたところと、これからハッキングされるところだ

Business Insider記事より引用)

今回の事件では、この言葉の前半、「既にハッキングされたところ(でも気づいてない」がこれに当たるのだと思います。侵入される、攻撃は受ける(受けている)、そして情報は持ち出される(持ち出されている)かも知れない、そうした考え方に基づいた防衛対策が必要な時代と言えそうです。

検索エンジンを使う人のイラスト

 

更新履歴

  • 2018年7月7日AM(予約投稿)