2016年11月18日
アダルトサイトからユーザ情報4憶件以上が流出
こちらのLeakedSource社のブログ記事によると、ハッキングによりアダルトWebサイトから4億件以上のアカウント/メールアドレスなどのユーザ情報が流出したと伝えています。
- AdultFriendFinder was hacked - LeakedSource【2016/11/13】
ローカル・ファイルインクルード(Local File Inclusion、LFI)による脆弱性を突いたとしています。 Webサイトを記述するスクリプト言語で開発効率の向上の為の「Include()系関数」の利用によるもので、類似でリモート・ファイルインクルード(Remote File Inclusion、RFI)があります(こちらも参照)。
ハッキングされたWebサイトでは、パスワードの99%以上はそのまま保存していて、一部がSHA-1によるハッシュ化をしているだけでした。但し、SHA-1も2005年に対する攻撃法が発見されており、NISTは合衆国の政府組織に対して、2010年までにSHA-1からSHA-2へ移行するよう要請しているものです(こちらを参照)。
更に、削除依頼したアカウント情報も(削除フラッグが付いているだけで)実際には削除されていない事が分かりました。
何れにしてもユーザ情報の管理が殆どで来ていない状態である事が分かります。
LeakedSource社のサイトではこちらでこれまでに既に漏れたユーザ情報を検索する事ができます。
こちらの様に「Search type」を指定して、「Search term」を検索します。
検索した結果がこちら。今回のアダルトサイトの情報については対象の特殊性から(一時的?)に検索結果には表示しません。
尚、「wildcard」の指定はこちらを参考に、"*"は指定しません。