パスワードを忘れた? アカウント作成
10745580 story
情報漏洩

@wikiで全ユーザーの管理情報が流出 57

ストーリー by headless
流出 部門より
take-ash 曰く、

@wikiのユーザー全員の管理情報およびデータが流出したそうだ(障害情報)。

現在、全ユーザーのパスワードを強制的にリセットしており、再発行手続きを行うようユーザーに呼びかけている。流出内容は、ユーザー名、暗号化されたパスワード、メールアドレス、登録時のIPアドレスとのこと。クレジットカード番号、住所、氏名は管理情報として登録されていないため、流出していないとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by coara (22037) on 2014年03月09日 14時29分 (#2559515) 日記

    私のタレコミ文も
    このタレコミのコメントに入れたけど反映してないからストーリーにコメントしろってことなので。。
    ---
    無料wikiサービスの@wikiでユーザ情報の流出が発生した。【お詫び】ユーザ情報流出に関するお知らせ [atwiki.jp]
    影響範囲は登録ユーザ全員のものということ、この流出によってパズドラ等のゲーム関連のwikiを中心に
    改竄が行われているという報告が挙がっているなど、既に被害も出ている模様。

    流出した情報は以下のとおり。

    • ユーザ名
    • パスワード(暗号化されています)
    • メールアドレス
    • 登録時のIP
      なお、クレジット番号、住所、氏名につきましては管理情報として登録されておりませんので、流出はございません。

    @wikiの有料サービスは携帯専用優先パスポート [atwiki.jp]というものだけ存在する。
    流出していないとされているが、今後の状況次第で変わる可能性もあると考えられるため、利用者には注意いただきたい。

    上記にてパスワードの流出については「暗号化されています」と書かれているが、2chでは以下のように言われている。

    ハッシュ化されたパスワードがレインボーテーブルで解析できることが判明、個人情報ほぼ完全流出

    このため利用者は、@wikiで登録したパスワードを他のサービスでも使用している場合、他のサービスのパスワードを変更するといった対策が必要だ。

    今回の情報流出に関して2chを中心に多くの情報が飛び交っているが、当然のごとく噂が噂を呼び錯綜している状態である。
    なおwikiの改竄が可能となれば容易に悪意のあるスクリプトを仕込むこともできてしまうため、
    事態解決のアナウンスがされるまで@wikiで作成されているwikiコンテンツにはアクセスしないほうがよいだろう。
    現時点では公式の根本的な解決方法・対策といった情報も出てきていないため、@wiki側での登録情報の変更は意味がない可能性もあるため、
    利用者は公式アナウンスどおりに@wikiでのパスワードを変更しても油断はしないよう要注意だ。
    # そもそもwikiのオーナーが変更されている可能性もあるため、パスワードの変更が正常に行えるかも不明だ

    # なおjavascriptでどこまでの悪意を仕込めるかという点はさておき、
    # @wikiでのjavascriptの埋め込みに関してはwikiを作った者であれば可能である [atwiki.jp]

  • by Anonymous Coward on 2014年03月09日 14時38分 (#2559518)

    @pageでもユーザー情報漏えいトラブル [netsecurity.ne.jp]起こしたし、@wordは長期メンテナンス→5月で閉鎖します [atword.jp]ですよ。

  • 公式からの続報 (スコア:3, 参考になる)

    by Anonymous Coward on 2014年03月09日 22時33分 (#2559764)

    公式から来てたメール第3報の転載ですが。

    いつも@wikiをご利用頂きありがとうございます。
    現在、ユーザ情報流出につきまして警察に相談を行いました。
    今後につきましては、警察と相談の上、進めてまいります。

    (既出のパスワードリセットURLと手順省略)

    ファイルの改ざんについて調査/対策を行っております。
    現在のところ、弊社で把握している点は以下の通りです。

    1.一部のサーバのwikiにおいて、リダイレクトするスクリプトを
    仕組まれまれたことを確認致しております。

    2.一部のサーバのwikiパスワード再発行ページにおいて、
    ページの改ざんされたことを確認しております。

    3.インターネットの一部のサイトでJavascriptの改ざんがされたという記述が
    見受けられます。弊社で調査いたしましたが、現在のところ、
    改ざんは確認されていません。

    4.インターネットの一部のサイトで@wikiにウイルスが仕込まれたという記述が
    見受けられます。弊社で調査をいたしましたが、現在のところ、
    ウイルスやウイルスによる通信は確認しておりません。

    5.インターネットの一部のサイトで@wikiへアクセスすると、
    open2ch様へ攻撃するという記述が見受けられます。
    open2ch様に確認いたしましたところ、
    現地点で、@wiki経由で攻撃は無いとご返答いただきました。

    本件につきましては多大なご迷惑をおかけし、まことに申し訳ございません。
    重ねてお詫び申しあげます。

    何か質問等ございましたら、サポートまでフォームからお問い合わせください。

    • 【お詫び】ユーザ情報流出に関するお知らせ
      http://www1.atwiki.jp/guide/pages/2606.html [atwiki.jp]
      2014年03月12日 21時00分追記

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      1.データの流出が確認したサーバ について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      ユーザ用の管理情報およびデータの流出を全サーバーで確認いたしました。
      管理情報は以下の通りです。
      メールアドレス
      暗号化済みパスワード
      メールアドレス
      登録時のIPアドレス
      前回のご報告にもありますよう、氏名・住所等の個人情報に当たる情報はございません。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      2.各wikiデータ流出について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      2014年03月09日以前の一部のwikiデータが流出しておりました。

      <流出内容>
      メンバーのメールアドレス
      メンバーの暗号化されたパスワード
      wikiページ内容
      wikiページ編集時のIPアドレス

      前回のご報告にもありますよう、氏名・住所等の個人情報に当たる情報はございません。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      3.現在の対応状況について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      直接原因となったプログラムは削除いたしました。
      また、プログラムを設置できた直接的な脆弱性は修正いたしました。
      それに伴う、直接的なセキュリティホールも修正いたしました。
      引き続き、間接的な部分の調査をおこなってまいります。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      4.FTPの一時停止について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      現在メンテナンスをしており、FTPを一時停止させていただいて
      おります。ご了承のほど、よろしくお願いいたします。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      5.弊社他サービスとのパスワード共有疑惑について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      一部の報道で、弊社の@wikiのパスワードと他のサービスでのパスワードが
      共有されているという報道がございましたが、共有はしておりません。

      過去に共有すれば便利になると社内で検討はいたしましたが、開発を
      断念しております。誠に申し訳ございません。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      6.ウイルス疑惑について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      一部のサイトで、@wiki内にウイルスが混入しているかのような
      誤解を招くような画像や情報が報じられています。
      しかしながら、現在のところ、ウイルスは確認されておりません。
      引き続き調査して参ります。

      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
      7.Javascriptの改ざん疑惑について
      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

      引き続き弊社で調査をしておりますが、現在のところ、
      改ざんは確認されていません。引き続き調査して参ります。

      --
      # SlashDot Light [takeash.net] やってます。
      親コメント
  • お知らせして欲しいです

    それとタレコミの方ありがとうございました。助かりました

  • by take-ash (28862) on 2014年03月09日 16時49分 (#2559586) ホームページ

    @wikiで全ユーザーの個人情報流出 有害なスクリプト設置の可能性も 専門家は「閲覧しないこと」を推奨(ハフィントンポスト)
    http://www.huffingtonpost.jp/2014/03/08/atwiki-crack_n_4928066.html [huffingtonpost.jp]

    「@wiki」で個人情報流出……全ユーザのパスワードを強制リセット(RBB TODAY)
    http://www.rbbtoday.com/article/2014/03/09/117661.html [rbbtoday.com]

    @wikiで登録ユーザー全員の情報流出 不正書き換え相次ぐ アクセスに注意を(ITmedia ニュース)
    http://www.itmedia.co.jp/news/articles/1403/09/news007.html [itmedia.co.jp]

    @wiki、ユーザーID・パスワードが流出。ページの改ざん被害も(INTERNET Watch)
    http://internet.watch.impress.co.jp/docs/news/20140309_638779.html [impress.co.jp]

    --
    # SlashDot Light [takeash.net] やってます。
  • by ymasa (31598) on 2014年03月09日 17時23分 (#2559601) 日記

    > パスワードは単一方向の暗号方式を用いておりますが、
    > 暗号化されたパスワードから元のパスワードを推測し難い状況です。
    > ただ、特定のサイトで単一方向の暗号方式を元に戻すサービスもあると伺っております。

    ユーザーに分かりやすいように書いているのか?
    単にわかってないだけなのか?

    「単一方向の暗号方式を元に戻すサービスもあると伺っております。」

    単一方向なら元に戻せない。
    単一方向の暗号文から元の文字列を推測するだけかと。

    なお簡単な可逆式暗号ならGoogle検索で元の文字列検索できます。

    • by Anonymous Coward on 2014年03月09日 21時40分 (#2559736)

      パスワードはmd5で暗号化されているだけのようです
      パスワードも数字だけだったので簡単に複合化出来ているようです

      親コメント
      • by ymasa (31598) on 2014年03月09日 22時36分 (#2559767) 日記

        「単一方向の暗号方式を元に戻すサービスもあると伺っております。」

        について話してると思う。

        親コメント
        • by Anonymous Coward

          みんなはセキュリティの話をしているんで、
          言葉の尻をつかまえて日本語の表現問題をやってるのはあんただけ

      • by esuta (40045) on 2014年03月10日 12時34分 (#2560013)

        >パスワードはmd5で暗号化

        煽りでないです。「暗号化」というと、複合することを前提とするようなニュアンスを感じます
        ので、MD5 や SHA-1 は「ハッシュ化」が適切と思いますが、どうでしょう。気にしすぎ?

        親コメント
      • by Anonymous Coward

        ×複合化
        〇復号

    • by Anonymous Coward

      「単一方向の暗号文から元の文字列を推測する」だろうと、結果的に元の文字列を見つけることに違いはないんだから、別に「元に戻す」で十分じゃね?
      この場合、「推測する」「復号する」「変換する」とかいう手法の話じゃなくて、「元の文字列に戻せる」という可能性についての話なんだから。

      極端な話、「暗号化された文字列を見ると、頭に神の声で元文字列が浮かぶ」という手法であっても、「元に戻す」という行為に変わりはないんだから。

      • by Anonymous Coward

        > 元の文字列を見つけることに違いはないんだから

        元の文字列を見つけることはできない。
        推測はできても。

        • by Anonymous Coward on 2014年03月09日 20時37分 (#2559711)

          >元の文字列を見つけることはできない。
          おそらく、ヒットしたものはコリジョンの可能性があるって事を言いたいのでしょうが。
          前提条件を作れば出来ますよ。

          例えば、パスワードにバイト配列や制御文字を設定するなんてまずありえないですから。
          「パスワードはprintableなASCII文字列」という条件を与えます。これだけでコリジョンは"ほぼ"完全になくなります。
          ※salt無しの単純ハッシュ化が前提

          今回はレインボーテーブルで検索できますから結果が1件なら絶対に元の文字列です

          親コメント
          • by Anonymous Coward

            >※salt無しの単純ハッシュ化が前提

            そんなこと前提にしたらなんだって言えるね。

            #「パスワードは数字1桁が前提」にしようぜ?

            • by Anonymous Coward

              今は@Wikiの話だという前提を無視されても困るって事だろ

  • by Anonymous Coward on 2014年03月09日 14時19分 (#2559510)

    そのページまで改竄されてたってオチだったりしないよね?

  • by Anonymous Coward on 2014年03月09日 14時42分 (#2559520)

    捨てアドで作ったWikiだから再発行できない(´;ω;`)

  • by Anonymous Coward on 2014年03月09日 14時43分 (#2559521)

    このストーリーに@Wikiさんは関係ありませんよね。
    https://twitter.com/slashdotjp/status/442532747534299137 [twitter.com]
    http://it.srad.jp/comments.pl?sid=625109&cid=2553394 [srad.jp]

    • by Anonymous Coward

      ググラビリティに対する、
      ツイータラビリティという概念の誕生か

      • by Anonymous Coward

        tweet + ablity ならツイータビリティでいいでしょうに
        どこから「ラ」が出てきたんw

        • by Anonymous Coward

          ??

          • by Anonymous Coward

            ツイータビリティだろってことだろ

        • by Anonymous Coward

          tweetter+ablityならラが出てきますね。
          // まあtweetterはほとんど動詞化していないようなので無理筋か。

          • tweetter+ablityならラが出てきますね。

            tweetter は tweeter (ツイートする人) のスペルミスだと思うけど、動詞ではないから -ability を付けるのは無理がある。

            twitter 自体を「Twitter を使う」という意味の動詞として使うことは稀にあるようなので、 twitterability ならありうる形だけど、これだと片仮名にしたら「ツイッタラビリティ (ー)」だろう。

            あと、そもそも #2559535 の人がどういう意味で「ツイータラビリティという概念」と書いたのか僕にはわからないけれど、意味によっては「ラ」が入るか入らないかとか「ー」か「ッ」かといった点以前におかしいという可能性もある。

            親コメント
  • これを期に (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2014年03月09日 15時32分 (#2559547)

    Wikipediaをwikiと略すのをやめてください。

    • by ymasa (31598) on 2014年03月09日 17時26分 (#2559606) 日記

      Wikipediaの話はしてねーよ。

      親コメント
      • by Anonymous Coward on 2014年03月09日 19時39分 (#2559674)

        「wiki」とあるのが「Wikipedia」とはイコールでないということを認識してもらういい機会だ、ということじゃないのかな?

        親コメント
        • by Anonymous Coward

          @wikiは、Wikipediaじゃないですね。

          • by Anonymous Coward

            フフフ、話が空回りしていますね。

    • atwiki使うのやめてmediawikiでサイト作って欲しいわ
      atwiki使いにくいし見辛い

      親コメント
    • by Anonymous Coward on 2014年03月09日 16時03分 (#2559561)

      明日にはWikipediaを見るとウィルスに感染する!って話が広まっているだろうな

      親コメント
    • by Anonymous Coward

      wiki→Wikipediaのように存在を認識した人は、wiki≠Wikipediaと認識しているんだけど、
      wikiとWikipediaの区別を曖昧な状態で知識として取り入れた人は、
      単にWikipediaの略称としてというだけでなく、Wikipediaをwikiの包含概念で最初から
      捉えているフシがある。
      つまりwikiサイトは十把一絡げで「wiki」扱いしていて、Wikipediaに権威を見る人に比べ、
      Wikipediaも@wikiも同格に近い扱いで理解をしているのではと。
      それでなおかつ、「Wikipediaがwikiの代表的サイトである」という見解は双方で一致してたりする。

      「Wikipediaをwikiって略すな!」→「Wikipediaだってwikiなのに??」というやりとりには
      そういう異なる内部理解の微妙なすれ違いがあるように思う。
      略されているのは単なるスペルではなく、概念の方なのかもしれない。

    • by Anonymous Coward

      これを「機」に、ではないかな。
      http://thesaurus.weblio.jp/content/%E3%81%93%E3%82%8C%E3%82%92%E6%A9%9... [weblio.jp]

    • by Anonymous Coward

      携帯電話を携帯と略すのをやめてください。と同じレベル

  • by Anonymous Coward on 2014年03月09日 18時09分 (#2559622)

    とか運営は思ってるんだろうな

  • ・メールアドレス1つに対して1000個くらいの転送アドレスを持てる
    ・転送アドレスのローカル部は任意・ランダム・任意+ランダムのいずれかから選べる
    ・転送アドレスは一括管理できる
    ・転送アドレスは簡単に発行・削除できる
    みたいなの

  • by Anonymous Coward on 2014年03月10日 5時01分 (#2559847)

    ずっと小規模とは言え、一応自分もサイト運営しているので戦々恐々。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...