某サービスのID/パスワード漏洩
あらすじ
pictSQUAREなどいくつかのサービスに関係するデータベースが不正アクセスで流出したとされています。
自分は「pictSQUAREを利用したことがあり、そのついでにpictSPACEも連携してちょっと使ったような気がする」の立場です。
(これを書いている現時点でサービスにログインできないので詳細不明)
ので、情報は基本的にpictSQUAREを中心に見ています。
時系列
8/14? 不正アクセスがあり、データベースを盗まれる
8/15 1時頃 pictSQUAREがXのアカウントで初報
8/15 18時頃 「データが流出した」という内容が初めて出る
この書き方では流出したことが判明したタイミングが何時ごろかは不明ですが、丸一日経過しようというところでようやく…。
8/16 20時頃 リークサイトに「pictSQUAREから引っこ抜いた60万人以上の個人情報を売るぜ!」という旨の書き込み
参考: pictSquareのデータベースに不正アクセスされリークサイトに公開、至急パスワードの変更を | 二本松 哲也
尚、8/17の3時頃に完売した模様。
8/17 16時頃 公式サイト上で発表
個人の感想(※半ギレです)
まあまずは「不正アクセスする奴が絶対的に悪い」というのはそう。それはそうなんですけど。
8/14深夜(と思われる)に発覚し、現時点の8/17夕方で未だに「きちんとしたお知らせ」が1件も来ないってどういうこと!?!?!?!?
全員が毎日張り付いてるとも限らないSNSのひとつで報告って、そんなん気付くわけがないんですが!?!?!?!?
(しかも初報が姉妹サービスのアカウントからのなんか中途半端な内容のリポストだし…)
自分の場合は別SNSでフォロワーさんが直接教えてくれたので8/16昼間にパスワード変更して回りましたけど、
普通は真っ先にメールで全員に「ひとまず他サービスのパスワード変更して!」ってお知らせでは??????
8/14深夜ではまだ変なアクセスってだけかもしれないし…という甘い認識だったとしても、8/15の18時にはメールないとおかしいでしょ???
他サービスから「他社が漏洩やらかしたのでウチのも見直して」ってメールがいくつか来ましたが、当事者からは何もなし??????
そして8/17夕方でようやく公式サイト上に文面出ましたけど(上記の画像)、
…よく読むと何も説明されてなくないですか???????
タイトルにこそ「個人情報流出事件」とありますけど、何が流出したかひとっつも書いてないんですよ。
対策取りようがないじゃん。
このひとことで「同じメアド・パスワード使ってるサービスのパスワード変える」「X(笑)の連携外す」「住所や電話番号に来る怪しい連絡に警戒する」「銀行口座に心当たりのない振り込みがないか監視する」ってできるかい????
「皆様には大変なご迷惑とご不便をお掛けしており、誠に申し訳ありません」じゃないんだよ。その理由を言えよ。
みんなX(笑)のアカウント見てくれてるから何が起こったのかは知ってるはず!っていうその自信はどっから来るんだ??????
誠意というかそういうのが何もないのが漏洩以上にびっくりした~~。
X(笑)見てなくてまだ何も知らない人、たくさんいると思うんですけど。
この間に漏洩したアカウント情報で他サービスに不正アクセスされたらっていう心配とかしないのかな。
ユーザーの方もこういうのに備えてパスワードは使いまわすべきではないっていうのはそりゃそうなんだけど、それを前提にするのも違うでしょ。
正直、漏洩しただけだったら(パスワードは他サービスと全然違うものにしたり個人情報なるべく残さないようにしたり注意しつつ)引き続き使うかもしれないけど、
この対応見て今後も利用しようとはならないですわ。信用無理~~~
<追記>その後8/17 22時ごろにメールも来ましたが。いや遅いわ!!!!</追記>
あとシステムの問題。
パスワードをmd5で保存するな~~~~~!!!!せめて塩コショウを振ってくれ!!!!!!
md5は平文とさほど変わらんって言われ始めてから何年経ったと思ってんだ~~~~!!!!
参考: ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた #初心者 - Qiita
2023/12/05 追記
サービス再開してしばらく経ちましたが…
…再開しましたのお知らせもしないんだ!?!?!?
マジでいつ再開したか知らないんですけど、しばらく前に「そういやあれから音沙汰ないけどアレどうなったんだろ?」と思って見に行ったら普通に再開してて目を疑いました。
ええ…(ドン引き)
無理………ってなってアカウントからなるべくデータ消したりダミー情報で埋めたりしてから退会しました。無理無理もう信用できるかこんなん…………
