atwiki

@wikiの運営会社アットフリークスがいつまで経っても誠意をもった公表をしないので、今回の流出の重要性について書いてみたいと思います。

詳しくは割愛しますが、先日@wikiがハッキング(クラック)されたと話題になりました。そして運営側もこれを認めます。詳しくは以下の記事を参考に

atwikiの流出が予想以上にヤバイ。アドレスは約20万件漏洩か。

お知らせとしてメールやトップページに流出に関する内容を書かれているので引用します。3月13日現在に運営が公開した内容になります。

スポンサードリンク

ユーザ用の管理情報およびデータの流出を全サーバーで確認いたしました。
管理情報は以下の通りです。
メールアドレス
暗号化済みパスワード
メールアドレス
登録時のIPアドレス
パスワードは単一方向の暗号方式を用いておりますが、暗号化されたパスワードから元のパスワードを推測し難い状況です。ただ、特定のサイトで単一方向の暗号方式を元に戻すサービスもあると伺っております。念のため、パスワードの再設定をお願いいたします。
http://www1.atwiki.jp/guide/pages/2606.html

酷いのはこの文章です。
「暗号化されたパスワードから元のパスワードを推測し難い状況です。ただ、特定のサイトで単一方向の暗号方式を元に戻すサービスもあると伺っております。念のため、パスワードの再設定をお願いいたします。」

この自信なさ気の文章をずーーーっと更新せず放っておいてるんですよね。しかも追記される内容といえば「流出したのは暗号化されたパスワード
社員全員が馬鹿なのでしょうか。若干安心感を持たせようとしてるのかわかりませんが、本当にどうしようもない。

というのも、この暗号化されたパスワードというのが、2ちゃんねるなどの情報を精査すると、どうやらこMD5ハッシュ値を利用しています。暗号化はたしかにされているのですが、安全じゃない暗号化なのです(´;ω;`)念のためどころか至急パスワード変えた方がいいレベル。

MD5ハッシュ値は既に無数のパターンがDBに保存されています。言ってしまえば使っちゃまずい暗号化。DBから逆変換ができちゃうんですよね。

逆変換可能ということは、暗号化された32桁のハッシュをパスワードに復元できます。パスワードに復元できるということは、データを持つ人はアドレスとパスワードの紐付けがいとも簡単にできてしまいます\(^o^)/オワタ

例えば私のパスワードが「pas123」だったとします。これをMD5変換すると「ffa1d6dd22119b761ce7c2531c656ad0」に暗号化されるわけですが、
md5pas

「ffa1d6dd22119b761ce7c2531c656ad0」を逆変換して「pas123」を表示させることができてしまうのです。

様々なWEBサイトでMD5逆変換が可能となっており、例えばmd5decryption.comで逆変換を試みると

md5

このように返されます。これは全部が全部逆変換可能というわけではありませんが、ほとんどできちゃいます。
日本にも逆変換をするサービスが複数公開されています。

一例:MD5変換・逆変換

さて、これでメールアドレスとパスワードがバレちゃったわけで、悪いことをする人は様々なサービスでそれを入力します。同じパスワードの使い回しは駄目!ってのはこれが大きな要因です。けど、ほとんどの人が使いまわしていますよね(´;ω;`)

もし使いまわしていると、外部サービスにまで侵入される恐れがあるのです。Amazonにログインされれば名前がばれちゃいます。住所もばれちゃいます。購入履歴も見れちゃいます。クレカ情報が見れちゃうサービスだってあります。

は?そんなことしたら逮捕じゃんって思うかもしれませんが、大規模サービスのatwikiをクラックして逮捕されてない人なんだから、朝飯前でしょう。とにかくatwikiに登録をしていた人は外部サービスのパスワードを変更しましょう。

atwikiのような大規模なサービスが20万件を超える情報をお漏らしして、しかもmd5ハッシュで暗号化というのは超危険。

何せ流出したデータはネットで誰でも簡単に落とせる状況が続いています(絶対駄目!逮捕されます)
超えちゃいけないラインを超える人は居るわけで・・・残念なことに何人もの人がデータを持っています。それなのに運営のこの対応はまずいでしょと・・・
彼らの罪は「念のため」だとか「暗号化された」という言葉で曖昧にしてることなんですよね。

おそらくatwikiを運営する側はセキュリティ管理者が居なかったんだと思います。それはもうしかたがないことです。
でもせめて「md5で逆変換も可能だから至急外部サービスでもパスワードを変更しろ」くらい言うべきなのではないでしょうか。

もしお友達に流出被害者が居たら教えてあげてくださいm(__)m

2ちゃんねる

222: 名無しさん@お腹いっぱい。 2014/03/11(火) 21:21:23.53

パスワード使いまわしまくっててアマゾンとかにもログイン出来るんだけど
パスワード変えなきゃマズイよな?


223: 名無しさん@お腹いっぱい。 2014/03/11(火) 21:23:29.02

あたぼうよ
あとそんなん人目につくここで言うな


226: 名無しさん@お腹いっぱい。 2014/03/11(火) 21:35:22.39

atwikiがいかに情弱ホイホイだったかよくわかるな


252: 名無しさん@お腹いっぱい。 2014/03/12(水) 01:03:27.40

続報メールないけど
どうなったん


245: 名無しさん@お腹いっぱい。 2014/03/12(水) 00:19:18.41

結局11日は丸一日運営からの音沙汰無しかよ!
定時連絡すら出来ねぇのか…


246: 名無しさん@お腹いっぱい。 2014/03/12(水) 00:27:33.27

運営としてはももう完結したつもりだろ完全に


256: 名無しさん@お腹いっぱい。 2014/03/12(水) 01:08:57.72

安全宣言まだかよー


257: 名無しさん@お腹いっぱい。 2014/03/12(水) 01:12:41.11

運営がスットコドッコイ過ぎて、安全宣言出されたところで安心出来ないから困る


258: 名無しさん@お腹いっぱい。 2014/03/12(水) 01:24:07.92

そもそもあのメール自体が本物かどうか怪しいけどな


348: 名無しさん@お腹いっぱい。 2014/03/12(水) 11:40:58.37

もう水曜なのになんにも対応してねーの?
さっさと鯖落としてマスコミ使って社長の謝罪会見ひらけよ


388: 名無しさん@お腹いっぱい。 2014/03/12(水) 13:40:07.80

ひでえ会社だ
他の奴が使ってるから大丈夫だろうって感じで使ってたのも多いはず
しかし実態は同人サークルレベル


元スレ:http://hayabusa.2ch.net/test/read.cgi/news4vip/1364225885/