TweepieがSQLインジェクションで情報流出
TweepieというSNSへ投稿することで報酬をもらえるというお小遣い稼ぎサイトが不正アクセス(SQLインジェクション)によりメールアドレスとパスワードが流出していたと発表されました。
Tweepie.-SNSでお小遣い稼ぎ-
https://twps.jp/
https://twps.jp/tweepie_info20160308.pdf
https://docs.google.com/viewer?url=https://twps.jp/tweepie_info20160308.pdf
■情報漏えいが発覚した経緯
2016 年3 月4 日に警察からの連絡によって、Tweepie で使用されているメールア
ドレスとログインパスワードが第三者による不正アクセスにより窃取された事実が
発覚致しました。
その事実発覚の経緯と致しましては、他のサイトへ不正アクセスをした犯人のPC
を警察が確認していたところ、複数のサイトからデータを窃取した形跡があり、そ
の中に弊社Tweepie のデータが含まれていたことによります。■不正アクセスの内容
・不正アクセスの日時・攻撃手法
2015 年5 月30 日午前0 時30 分ごろに、弊社サーバー内のデータベースに対
する外部からの不正操作の攻撃(SQL インジェクション)
・情報漏えいした情報項目と件数
Tweepie に会員様がご登録されているメールアドレスとパスワード
…
55,667 件
※なお、お名前、ご住所、生年月日、性別、口座情報などの個人情報は窃取さ
れておりません。
・窃取された情報の現在の状況
窃取されたデータが保存された犯人のPC は、現在、警察に押収されておりま
す。また、犯人がデータの転売目的などで他人にデータを流出させていないことが確認できておりますので、これ以上に被害は拡大しないものと考えております。
■被害状況について
Tweepie で会員様がご使用されているメールアドレスとパスワードを使って、3
名の会員様が他サイトにて不正にログインされたとの被害を警察の報告によって確
認しております。ただ、金銭的な被害は無く、3 名の会員様以外の会員様への被害
は確認されておりません。
・被害にあわれたお客さまへの対応について
被害にあわれた1 名の方からは既に警察に被害届けが出されており、そこで不
正アクセスによる情報漏洩が発覚致しました。他の2 名の方には警察から連絡が
なされているとの報告を受けております。
この3 名の方がTweepie の会員様であるかどうかを、今一度、今後の警察への
訪問で確認致します。今後の調査で、被害にあわれた方が具体的に判明次第、お
詫びの対応をさせて頂きます。■実施済みの対応策と今後について
・これまでの対応
弊社スタッフが使用する会員様情報管理画面(※1)に不正なログインを試みる
不審なアクセスがあったことを2015 年6 月2 日に検知致しまして、早急に以下
のセキュリティの見直しと強化を実施致しました。
※1
会員様の情報を管理する管理サイトです。会員様とのやり取りを円滑にする
目的で使用しております。
・WEB アプリケーションの脆弱性の修正
-当管理画面の攻撃を行っていたIP アドレスのアクセス制限する対策
-当管理画面へのログインを関係スタッフの端末のみに制限する対策
-機械ログイン対策の強化
-ログインID、パスワードの変更
・SQL インジェクション対策の見直しと修正
これらの際にサーバーのログを確認したところ、不正アクセスがログインに成
功した形跡は確認できず、データが窃取されたことも確認されなかったため、会
員の皆様にご報告することはございませんでした。しかし、本来であれば、不正
アクセスの疑いがある時点で会員の皆様にご連絡し、注意を喚起するとともにお
詫び申し上げ、警察に相談すべきでございました。また、不正アクセスの検知が
遅れたことも踏まえまして、弊社のセキュリティに対する認識の甘さと対応能力
の不足があり、非常に反省すべきであると考えております。
この文面だと日本人が個人でやった犯罪のようにも思えますが、中華Proxyの案件じゃないのかな?と考えています。最近逮捕されたものでリスト型攻撃のものというと、埼玉と神奈川で逮捕された中華proxyの件ぐらいしか浮かびませんからね。
これ以外にも2015年6月2日にスタッフ向けのサービスに不正ログインを検知し防いだとのことですが、じつは怪しいのを当時から記録しています。被害者のブログによるとTweepie利用者へも5月末頃から不正ログインが行われていたと思われます。被害者が少ないということは流出したパスワードを使用されたというわけではないかもしれませんが、この時期に集中的に狙われていたようですね。
追記:手に入れたリストを試していただけかもしれないですね。登録してある口座と寄付ぐらいにしか換金できずあきらめたとか。
不正ログインでポイント被害に遭いました!|ちょっと、ひと休み
http://ameblo.jp/marurunrun/entry-12036874336.html
ふ、不正アクセス~!? :: ~お家で楽しくお小遣い稼ぎ~ 色々チャレンジ
http://hajimetenozaitaku.webnode.jp/news/%E3%81%B5%E3%80%81%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%EF%BD%9E%EF%BC%81%EF%BC%9F/
あとは流出したパスワードが平文なのかハッシュ化などしているのかが気になるんですが書いていないのも気になりますね。
« Microsoftアカウントに英国国防省から不正ログイン? | トップページ
「情報セキュリティ」カテゴリの記事
- TweepieがSQLインジェクションで情報流出(2016.03.08)
- Microsoftアカウントに英国国防省から不正ログイン?(2016.03.08)
- ORANGE RANGEの会員限定パーカーにログインIDをプリントして発売(2016.03.08)
- フィルタではじかれていたマルウェア付きメール一挙公開(2016.03.03)
- 2日連続のマルウェア添付メール(2016.03.02)
コメント