17社の3400万のユーザー情報がウェブ上で売りに出されています

2020/11/02 セキュリティーニュース
logo

攻撃者がハッキングで17社から盗んだ合計3,400万のユーザー情報を含むアカウントのデータベースが売りに出されました。

 

しかし、何れも、最近、システムがハッキングされたと報告している企業はありません。

 

盗まれた情報の要約

売り手がBleepingComputerに語ったように、ハッキングに対する責任はなく、ブローカーとしてのみの機能を提供しています。 売り手はまた、誰がデータ盗難の背後にいたのかを明らかにすることを拒否しました。

 

 販売中の17のデータベースはすべて、2020年に盗まれました。そのうち最大のものは、Geekieが所有しており、810万件のレコードが含まれています。

 

 BleepingComputerは影響を受けたすべての企業に連絡しましたが、RedMartのみが違反を確認し、Wongnai.comは調査が現在進行中であると報告しました。

売りに出された情報

Redmart.lazada.sg(110万件):電子メール、SHA1ハッシュパスワード、住所と請求先住所、氏名、電話番号、クレジットカード番号の一部、および有効期限。

 

 Everything5pounds.com(290万件):メール、ハッシュ化されたパスワード、名前、性別、電話番号

 

 Geekie.com.br(810万件):メール、bcrypt-sha256 / sha512ハッシュパスワード、ログインID、名前、性別、携帯電話番号、ブラジルの識別番号(CPF);

 

 Cermati.com(290万件):電子メール、bcryptパスワード、名前、住所、電話番号、収入、銀行、税番号、ID、性別、仕事、会社、母親の旧姓。

 

Clip.mx(470万件):電子メール、電話番号;

 

 Katapult.com(220万件):電子メール、pbkdf2-sha256パスワード、ログインID;

 

 Eatigo.com(280万件):電子メール、md5パスワード、名前、電話番号、性別、Facebook ID、トークン。

 

 Wongnai.com(430万件):電子メール、md5パスワード、IP、FacebookおよびTwitter ID、名前、生年月日、電話番号、郵便番号。

 

 Toddycafe.com(12.9万件):電子メール、パスワード、名前、電話番号、住所;

 

 Game24h.vn(77.9万件):電子メール、md5パスワード、ログイン、生年月日、名前;

 

 Wedmegood.com(130万件):メール、sha512パスワード、電話番号、Facebook ID

 

W3layouts.com(78.9万件):-電子メール、bcryptパスワード、IP、国、都市、州、電話番号、名前。

 

 Apps-builder.com(38.6万件):電子メール、md5cryptパスワード、IP、名前、国;

 

 Invideo.io(57.1万件):電子メール、bcryptパスワード、名前、電話番号;

 

 Coupontools.com(100万件):電子メール、bcryptパスワード、名前、電話番号、性別、生年月日。

 

 Athletico.com.br(16.2万件):電子メール、md5パスワード、名前、ブラジル識別番号、生年月日。

 

 Fantasycruncher.com(22.7万件):電子メール、bcrypt / sha1パスワード、ログイン、IPアドレス。

まとめ

あなたが提供しているサービスから個人情報が漏洩して、販売されていますよと連絡があったら、どうしますか?

ID/パスワードの再発行をユーザーに案内してそれで終わりでしょうか?それ以外の原因があるかもしれませんが、漏洩した会社の殆どがmd5やsha1等の脆弱と言われているパスワードを利用していますので、適切な対策が取られていなかったと思われます。

漏洩したユーザー数が100万以上のサービスが多いので、それなりの規模の会社だと思いますが、ビジネスへの影響やユーザーへの信用低下、国によっては数億円の罰金が課されます。

例えば、

被害発生後の対応の場合:平均4億円

脆弱性対応を計画的に実施していた場合:40万円(脆弱性診断ソフト購入費用/年)になるので、

実は対策をしていれば、1/1000の費用ですみます。

中小企業で4億の費用を払えるところは少ないかもしれません。払えたとしても大きななダメージを受けるでしょう。

書籍に書かれていましたが、中小企業の50%は何らかのサイバー攻撃を受けたことがあると書かれていました。中小企業はターゲットにならないのは昔の話です。世界には対策を取っている企業は多いですが、残念ながら、日本は対策をしている企業はあまり多くありません。96%は標準の対策をしていれば、防げたそうです。対策をしていれば良かったでは、後の祭りにならないように、標準の対策はしませんか?