パスワードを忘れた? アカウント作成
12806031 story
情報漏洩

Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 13

ストーリー by hylom
Facebookアカウントじゃなくて良かったですね 部門より
headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ(VentureBeatGuardianSoftpedia)。

LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル(SHA-1、ソルトなし)のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。

LinkedInでは影響を受けるユーザーのパスワードをリセットするなどの措置を取っているが、共通のパスワードを使用している他のWebサービスは放置されるケースも多い。

OurMine Teamはサウジアラビアのハッキンググループで、現在凍結されているTwitterアカウント(Googleキャッシュ)では、このほかにもビル・ゲイツ氏のアカウントなどを乗っ取ったとも主張している。また、ザッカーバーグ氏のInstagramアカウントも乗っ取ったと述べていたらしいが、Facebookでは同社の運営する各サービスに関しては不正にアクセスされた形跡はないとコメントしているとのこと。

なお、ザッカーバーグ氏のTwitterアカウントは2012年以来投稿がなく、Pinterestについてもあまり使っていなかったようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • めったに使わないサービスは、使う度にパスワードを再設定ってのもいいかもしれない

    • keepass [keepass.info]などを使っていれば特に無理ではありません

      親コメント
      • by Anonymous Coward

        現実的には、パスワード管理してる人は、いわゆる情強の中のさらに一部のみ。
        一般の人は面倒なことはやりたがらない。セキュリティより便利(簡単)が優先される。
        パスワード管理をアプリに任せれば覚える必要もないし簡単じゃん、と言いたいだろうが、彼らにしてみればそもそもパスワード管理が面倒。

        パスワード管理をきっちりやってる人と2段階認証を活用してる人は全体から見て同程度に少数だと思う。

        # 最近のTeamViewerの不正アクセスの件を考えると、ウェブブラウザにパスワードを保存しておくのは危険だと思った。

      • by Anonymous Coward

        そういうツールって、クラウドサービスタイプじゃないと、違う端末からアクセスしようとする場合にはお手上げ。
        で、クラウドサービスだとそこがクラックされたらお終い [security.srad.jp]。

        なかなかオールマイティで且つ安全な方法というのは無いものだ。

        • by Anonymous Coward on 2016年06月09日 13時22分 (#3026872)
          Keypass 使ってるけど、データファイルは、OneDrive でスマホ含めて使う端末で共有。
          データファイルの暗号化のキーファイルは使う端末にローカルで保持してる。

          なので 使う端末でデータは全端末で共有できて、なおかつクラウドサービス側をクラックされても、暗号キーは漏れない。
          なので、その2点に関してなら簡単に解決する。
          親コメント
        • keepassは単純な1つのファイルにデータを保存するので,それをdropboxやonedriveなどで同期すれば普通にアクセスできます
          そして,keepassにはファイルをパスワードの代わりにできるキーファイル機能があり,キーファイルだけローカルでコピーして同期しなければ,
          たとえdropboxからファイルが流出しても安心です

          親コメント
        • by Anonymous Coward

          パスワードを管理するツールのパスワードを管理するツールのパスワードを管理するツールの…

        • by Anonymous Coward

          上にいろいろ返答が並んでるし正しいと思うけど、
          たとえ暗号化してもやはりクラウドストレージに保存するのは”安全”とは言いづらい面も。
          暗号を破るのは大変だろうが不可能ではない。さすがに大量のリソースを使って要人でもない自分のパスワードを割り出そうなんて輩はいないだろうけど、リスクであることは事実。
          もちろん、それを理解した上で、同期の利便性を優先し使用してるんだろうけど。

          自分も同様の使い方してたけど、ローカルオンリーでのWiFiでの同期ができるようになったからクラウドに置くのはやめた。
          ちなみに1password。

    • by Anonymous Coward on 2016年06月09日 5時16分 (#3026660)

      以前誰かがスラドに書いていた方法で、「ああ、なるほど」と感心した方法を自分も使っている。

      その人が書いていたのは、すべてのアカウントに共通な文字列を決めておいて、
      アカウントごとにその共通文字列に変更を加えたり文字を足したりしてユニークなパスワードを作る、というもの。

      共通文字列は英数大文字小文字記号の組み合わせで、なるべく類推されにくいもの。それはどこにも書き留めずに覚える。
      そしてアカウント毎の共通文字列からの変更差分だけをメモ帳などに記録しておく。
      これで無理なくアカウントごとに類推されにくくユニークなパスワードを持てるし、
      万が一メモ書きを他人に見られても問題ない。

      アイディアを披露してくれた人、感謝。

      親コメント
      • by Anonymous Coward

        共通キー: AAAA

        アカウントA: BBBB -> AAAABBBB
        アカウントB: CCCC -> AAAACCCC

        ってこと?
        結局アカウントごとにユニークな部分があり、それは覚えておかないといけない(またはメモ)というなら、
        普通にパスワード管理アプリ使う方が楽な気も。

        自分の場合、管理アプリみると既に900件も登録されてるから、そちらのやり方は絶対破綻してるわ〜

    • by Anonymous Coward

      完全にサービス毎に別のパスワードってのも無理筋

      こういう考え方は危機感が大変欠如していると思う。
      対象のサービス管理者にアカウントハックされても良いサービスとしてそのように設定しているのならいいのだが、
      そうでないのなら、パスワード使い回しは脆弱性そのものなのだから。

      • by Anonymous Coward

        泥スマホは入っているキーボードによっては打てない記号があった記憶が。。
        f-10dでどっかのサービス使うのやめた理由

  • by Anonymous Coward on 2016年06月08日 17時48分 (#3026339)

    それくらいのセキュリティ/プライバシー意識じゃないとあんなサービス生み出せないよ。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...