史上最大のユーザーとパスワードの盗難について知ってから数週間後、ダークウェブに新たな漏洩が発生しました。これらは16 のサイトから盗まれた 6 億 1,700 万のアカウントであり、ビットコインで 2 万ドルで売りに出されています。
上記はThe Registerによって報告されており、主に Fotolog 、 8bit 、 MyFitnessPal 、 Dubsmash 、 MyHeritage などのサイトのデータベースであることを確認しました。これらのベースには、ユーザー名、パスワード、電子メール アドレスが含まれ、場合によっては個人情報やソーシャル ネットワーク アクセストークンも含まれます。
現在までのところ、これらの口座に銀行口座の詳細が記載されている証拠はありません。パスワードの場合、パスワードは暗号化されているため、購入者が復号化する必要があります。それらの中には、時代遅れの暗号化アルゴリズムを使用しているものもあるため、この情報を入手したい人にとっては問題ありません。
The Register は、これらの基地には 2016 年以降に実行されたハッキングの情報が含まれていると報告しています。 500px や EyeEm などの一部のサイトは、すでにユーザーにパスワードの変更を連絡しています。影響の程度を判断するためにこの事件を調査しているところもある。
どのような情報が盗まれたのでしょうか?
データベースは個別に販売されており、含まれる情報が最新のものではない場合があります。 MyHeritage のハッキングは 2017 年 10 月に遡りますが、Animoto は、データは 2018 年に発生した漏洩によるもので、8 月以降に何が起こったかをユーザーに通知していたと述べています。
Fotolog の訴訟は最近のもので、その起源は 2018 年 12 月に遡ります。この古いソーシャル ネットワークは起業家グループのおかげで2018 年半ばに復活し、競争の激しい写真アプリの世界で躍進しようとしています。
各サービスから取得した情報は以下の通りです。
写真ログ。電子メール、パスワード、秘密の質問と回答、プロフィール データ (名前、住所、興味、その他の追加情報)。
これをシェアします。メールアドレス、ユーザー名、パスワード、プロフィールデータ(名前、生年月日、性別)
500ピクセル。メールアドレス、ユーザー名、パスワード、プロフィールデータ(名前、生年月日、性別、所在地)
8フィット。電子メール、パスワード、名前、性別、IP アドレス、写真などのソーシャル ネットワーク上のプロフィール情報を含む Facebook の認証トークン。
マイフィットネスパル。電子メール、ユーザー ID 、ユーザー名とパスワード、IP アドレス。
アーマーゲーム。電子メール、ユーザー名、パスワード、プロフィール データ (生年月日、性別、所在地、その他の追加情報)。
データキャンプ。メールアドレス、パスワード、場所。
芸術的。電子メール、パスワード、場所、IP アドレス。
ブックメイト。電子メール、ユーザー名、パスワード、プロフィール データ (性別、生年月日)。
私の遺産。メールアドレスとパスワード。
アニモト。メールアドレス、ユーザーID 、パスワード、プロフィールデータ(名前と生年月日)。
アイエム。メールアドレスとパスワード。
ダブスマッシュ。電子メール、ユーザー ID 、パスワード、プロフィール データ (名前と場所)。
コーヒーとベーグルの出会い。メールアドレス、パスワード、プロフィールデータ(名前、年齢、登録日、性別)。
高級ルック。メールアドレス、パスワード、名前。
ホワイトページ。メールアドレス、パスワード、名前。
価格はデータベースによって異なります。各サイトの情報は個別に販売されており、最も高価なものにはDubsmash と Fotologがあり、価格はそれぞれ 1,976 ドルと 1,872 ドルです。
データベースはTorを通じてダークウェブで購入できます。ハッカーは、金銭的な理由だけでなく、アカウントを保護することがいかに重要であるかを人々に認識してもらうために、この情報を公開することを決定しました。
これらのサービスのいずれかを使用している場合は、パスワードを変更するための通知をすでに受け取っている可能性があります。まだ変更していない場合は、もう待たずにすぐに変更してください。
2 段階認証が存在する場合はそれを有効にし、可能な限り他のサイトで同じパスワードを使用しないことを常にお勧めします。
参考資料一覧
- https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/