Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Houzzのデータ漏洩

建築、インテリアデザインなどのウェブサイト及びコミュニティを形成しているHouzzが2月に第三者からの不正アクセスを受け、データ漏洩した個人情報は、49百万人分にも及ぶ事がHave I Been Pwnedサイト(Troy Hunt氏)によって報じられていました。

threatpost.com

 

金曜日に室内装飾ウェブサイトHouzzはユーザーデータ - ユーザー名、パスワード、IPアドレスを含む - が "未承認の第三者"によってアクセスされたという通知を出しました。

Houzzは、家具を購入するために、消費者をさまざまな家庭用品部門または専門家に結び付けます。カリフォルニア州パロアルトに拠点を置く同社は、不正な第三者がユーザーデータを含むファイルを入手したと述べた。

このデータには、ユーザーID、以前のHouzzユーザー名、一方向暗号化パスワード(ユーザーごとに一意に割り当てられる)、IPアドレス、およびIPアドレスから推測される市および郵便番号などの内部アカウントデータが含まれます。また、ユーザーのHouzzプロファイルから一般公開されている情報(名、姓、市、州、国、プロファイルの説明)にもアクセスしました。ユーザーがFacebookを使ってHouzzにログインした場合は、ユーザーの公開Facebook IDも公開されていました。

(threat post記事より引用)※機械翻訳

 

■公式発表 Houzz Security Update - FAQ

 

◆キタきつねの所感

1月末から2月初旬にかけて各社から漏洩記事が出始めているのですが、Houzz側は、2月4日にデータ侵害を受けた事は発表しましたが、漏洩件数であったり、狙われた脆弱性などは公開していません。

Troy Hunt氏は3月13日に自身のTwitterで事件に関連するデータがHave I Been Pwnedに掲載された事を発表しましたが、4800万件のデータ漏洩と言う事なので、かなり規模が大きい漏洩事件となりました。漏洩データの69%(つまり3300万件以上の個人情報)は、既にHave I Been Pwnedに格納されているということですから、DarkWeb(DeepWeb)で既に販売状態になっている事が分かります。

f:id:foxcafelate:20190317125651j:plain

 

 

Tech Crunchの記事によると、漏洩したデータはハッシュ化とソルティングはされていた様ですが、

Houzz resets user passwords after data breach – TechCrunch

Houzzは、パスワードは一方向ハッシュアルゴリズムを使用してスクランブルされて塩漬けされていると述べたが、どの種類のハッシュアルゴリズムが使用されているかについての詳細は提供していないMD5のようないくつかのアルゴリズムは古くて時代遅れですがまだ使われていますが、bcryptのような新しいハッシュアルゴリズムはより強力で、パスワードの通過回数によっては解読が困難になる可能性があります。

(TechCrunch記事より引用)※機械翻訳

 

その方式を発表してない事から考えると、古い方式(MD5)だったのではないかなと推測します。

 

Havei I Been PwnedのUp情報を見ると、、ソルト付きパスワードかソーシャルメディアのリンク(認証連携)のどちらかで格納されているという事ですので、、、

f:id:foxcafelate:20190317125916j:plain

 

Houzzは、(公表してませんが)データベースサーバまでハッカーに侵入されてしまった可能性が濃厚です。もう少し細かく、Up情報を見てみると、

Almost 49 million unique email addresses were in the breach alongside names, IP addresses, geographic locations and either salted hashes of passwords or links to social media profiles used to authenticate to the service.

ハッシュまで(レインボーテーブルで)解読されている訳では無いようですので、パスワードが漏洩したとまでは、まだ断定できる訳ではなさそうです。とは言え、メールアドレスはそのまま漏洩している様ですので、このデータが他の漏洩データと組み合わさる事で、違った形でユーザが狙われる事には警戒が必要かも知れません。

 

どうでも良い事かも知れませんが、Troy氏のTwitterの発言に対してのコメントを読んでいて・・・思わずうなずいたのがコレでした。

f:id:foxcafelate:20190317130915j:plain

最近2年間で漏洩してない人を教えてくれた方が(自身の個人情報が漏洩してないかを確認するのに)早い・・・残念ながら日本でも対岸の火事と言える状況ではなくなりつつある気がします。パスワードの使いまわしには、留意した方が良さそうです。

 

 å»ºç¯ä¸­ã®å®¶ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月17日PM(予約投稿)