英国のニュース総合サイト「NewsNow」が侵入を受け、ユーザーの「暗号化された」パスワードが漏洩した。
この侵害に関する情報は、「Have I Been Pwned」サービスを運営するセキュリティコンサルタントのTroy Hunt氏への報告を通じて明らかになった。
@NewsNowUKでデータ侵害発生 pic.twitter.com/6j1b03x4Fp
— トロイ・ハント(@troyhunt)2018年9月24日
侵害通知は、不特定多数の「暗号化された」パスワードの漏洩について言及しています。業界のベストプラクティスでは、パスワードはソルト付きハッシュ表現のみで保存することが推奨されていますが、これは全く同じではありません。NewsNowはベストプラクティスに従っていないか、通知で誤った用語を選択しているかのどちらかです。通知では、侵害は解決され、セキュリティが強化されたと述べられています。
NewsNow はサイトへの直接ログインを完全に廃止し、電子メールベースのアクセス確認システムに切り替えたと報じられています。
一部のクレデンシャルスタッフィングボットネットは、もはや注目されることを気にしない
続きを読む
このサービスは、ウェブサイト上で侵害に関する通知をまだ公開していません。El Regはウェブフォーム、メール、Twitterアカウントを通じて同社に連絡を試みましたが、本稿執筆時点では返答がありません。
NewsNowは特に機密性の高いサービスではないため、ユーザーが他のサイトで同じパスワードまたはパスワードの基となるパスワードを使っている場合に真の危険が生じます。このような行為は、漏洩したIDとパスワードの組み合わせを他のウェブサイトで試すことで、自動クレデンシャルスタッフィング攻撃の格好の餌食となります。
グラハム・クルーリーなどのセキュリティ専門家は、NewsNow のユーザーに対し、パスワードを確認して変更するようアドバイスしました。®
9月25日15:00 UTCに更新。
NewsNowの最高執行責任者であるグレッグ・ウィザム氏は、最近のハッキングを受けて、情報漏洩の通知は「予防措置」であると述べた。
最近、侵入の証拠を発見しました。一部のサーバーにバックドアが仕掛けられていました。侵入の原因は、8年前に遡るたった1行のコードから発生した攻撃経路にあることが判明しました。直ちにパッチを適用し、影響を受けたサーバーをすべてオフラインにしました。コードベースを監査し、同様の問題がないか確認しましたが、見つかりませんでした。サーバーを完全に再インストールした後、オンラインに戻しました。
データ漏洩が発生したかどうかは断言できませんが、可能性はあります。ユーザーへの連絡は予防措置として送信されました。
