パスワードを忘れた? アカウント作成
14991521 story
情報漏洩

チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 14

ストーリー by nagazou
関連発表はこれから増えると見られる 部門より
イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16~17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている(PeatixCNET)。

この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県埼玉県栃木県宇都宮市福井県福井市宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている(TechCrunch)。
  • jbeef先生でおなじみJILISのイベントもここで募集してましたね。やだな。

    > なお、今後のイベントでのPeatixの利用について、一時中止いたします。
    とのこと。

    ここに返信
  • by Anonymous Coward on 2020年11月20日 13時13分 (#3927731)

    Peatixユーザーのはずなのに、Peatixからは連絡がない。
    こんな形で情報漏洩を知るなんて。

    ここに返信
    • by Anonymous Coward

      パスワードリセットもされているので、登録しているメールアドラス宛に届いてますよ。

      • by Anonymous Coward

        おかしいな。届いていないぞ。
        SNS使ったログインでは漏れていなくて、メールアドレスをIDに直接アカウント作った場合のみが対象のようだが。私は該当するはずだが。

    • by Anonymous Coward

      うちも届いていないですね。
      以前の職場のメールアドレス(転送設定済みで生きている)で登録していて、以前の職場から「あなたのアカウントが漏洩の対象でした」という連絡は来ましたが、当該メールアドレス宛にPeatixからは連rカウが来ていないです。

      以前の職場は、どうやって私のメールアドレスが漏洩対象だということを知ったのでしょうか。。ドメイン単位で連絡が届いているとか?

    • by Anonymous Coward

      667万件のユーザーに一斉メール送ると確実にスパム判定されるので、徐々に送っている可能性がある

      • by Anonymous Coward

        (#3927800)と(#3927803)を書いた者です。昨日届きました。送信日時は
        >Date: Mon, 23 Nov 2020 01:03:41 +0000 (UTC)

        >本メールをお送りさせていただきましたお客様に関しましては、今回の事象により、不正にお客様情報が引き出された事実は確認されておりません。

        だそうで。最大677万件(ほぼ日本人)に私の情報は含まれなかった?

        >ソーシャルメディアとのログイン連携にてご登録されたお客様の個人情報に関しては、暗号化されたパスワードは保持しておりません。そのため、ソーシャルメディアとのログイン連携にてご登録されたお客様に関しては、本件において暗号化されたパスワードが引き出された事実は確認されておりません。

        この書きぶりだとSNS経由ログインでもパスワード以外は漏れている?

        >11月15日にアカウントのセキュリティの万全を期すため、全てのパスワードの再設定が必須となる措置を行いました。

        漏れていなくても全員が対象なのかな?

    • by Anonymous Coward

      うちも来てないしアプリでそのままログインできた。自分で変えてみた。

  • by Anonymous Coward on 2020年11月20日 13時46分 (#3927749)

    暗号化されたパスワードってかかれると、復元が可能なように聞こえるけど
    こう書かれた場合ってハッシュ化も含むものなんですかね

    ここに返信
    • by Anonymous Coward on 2020年11月20日 14時26分 (#3927786)

      暗号化の定義にハッシュ化を含むかどうかは議論の的だと思いますが、今回はどういうわけかSalt付SHA1によるハッシュ化パスワードから割り出したと見られる平文パスワード112万件がハッキングフォーラムで公開されているそうで、復号されたとみて行動した方がよいです。

      不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog [hatenadiary.jp]

      昨日発表された #Peatix の情報漏えいですがハッキングフォーラム上に流出したとみられるデータが出回っており、パスワードハッシュをdehashしたと主張するリスト(約122万件)も公開されています。
      パスワードの変更と他サービスでの使いまわしがないか今一度確認されることを推奨します。...

      https://twitter.com/piyokango/status/1328819030715600896 [twitter.com]

      peatixの復号化されたもの本物っぽいね
      しっかり載っててID・PASS正しいものだ。...

      https://twitter.com/furatocoin/status/1328910262062116870 [twitter.com]

      • by Anonymous Coward

        もしかしたら、辞書攻撃してdehashしただけかもしれない……。
        どっかのバグ有りサンプルプログラムをコピっていて、塩が一緒でレインボーテーブルが既に準備済みだったとかだったら笑うしかないけど。

        何かのログに生パスワードが吐かれてたとか、プログラムが改変されてたとか、SSL/TLSアクセラレータやリバースプロキシがやられてタップされてたとか。
        東映ビデオ [security.srad.jp]のカード情報流出と言い、何か未知の穴を突かれてる気がして仕方ない。

  • by Anonymous Coward on 2020年11月20日 14時00分 (#3927757)
    ここに返信
    • by Anonymous Coward

      コロナ禍で音楽の配信ライブが増えたが、その有料プラットフォームとして利用していた。
      有料配信プラットフォームは他にもイープラスとかツイキャスとかTiGETとかZAIKOとか多数あるが、主催者側が選択するものなので視聴者側としては選択の余地がない。
      つーことで私の情報もだた漏れと思われ。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...