2016年11月18日

アダルトサイトからユーザ情報4憶件以上が流出


こちらのLeakedSource社のブログ記事によると、ハッキングによりアダルトWebサイトから4億件以上のアカウント/メールアドレスなどのユーザ情報が流出したと伝えています。


ローカル・ファイルインクルード(Local File Inclusion、LFI)による脆弱性を突いたとしています。 Webサイトを記述するスクリプト言語で開発効率の向上の為の「Include()系関数」の利用によるもので、類似でリモート・ファイルインクルード(Remote File Inclusion、RFI)があります(こちらも参照)。



ハッキングされたWebサイトでは、パスワードの99%以上はそのまま保存していて、一部がSHA-1によるハッシュ化をしているだけでした。但し、SHA-1も2005年に対する攻撃法が発見されており、NISTは合衆国の政府組織に対して、2010年までにSHA-1からSHA-2へ移行するよう要請しているものです(こちらを参照)。


更に、削除依頼したアカウント情報も(削除フラッグが付いているだけで)実際には削除されていない事が分かりました。

何れにしてもユーザ情報の管理が殆どで来ていない状態である事が分かります。



LeakedSource社のサイトではこちらでこれまでに既に漏れたユーザ情報を検索する事ができます。





こちらの様に「Search type」を指定して、「Search term」を検索します。

検索した結果がこちら。今回のアダルトサイトの情報については対象の特殊性から(一時的?)に検索結果には表示しません。




尚、「wildcard」の指定はこちらを参考に、"*"は指定しません。


 
posted by 鎌倉太郎 at 14:00| 神奈川 ☁| Comment(0) | TrackBack(0) | 体験利用 | 更新情報をチェックする
この記事へのコメント
コメントを書く
コチラをクリックしてください

この記事へのトラックバック