Peatixの情報流出について まとめ

piyolog.hatenadiary.jp

最大677万件のデータ流出

Peatix社が情報流出の可能性を把握したのは2020年11月9日頃。

外部企業による調査の結果、2020年10月16日~17日にかけて不正アクセスが同社サービスに行われていた。

登録されていた個人情報を含む利用者情報が最大約677万件不正に取得された事実が判明。

2020年11月17日発表時点で調査中。新事実等判明次第公表。

同社は今回の流出に関係する二次被害は確認されていないと説明。

どのようにしてデータが窃取されたのか、不正アクセスの手口に関係する情報は今回の発表には含まれていない。

次を含む利用者の情報最大677万件が不正に取得された。

 アカウントの表示名

 氏名  

 登録メールアドレス

 暗号化されたパスワード

 タイムゾーン

 言語設定

アカウント作成の国今回の不正アクセスによる対象外とされた情報は以下の通り。

 決済関連情報(クレジットカード、口座情報等)

 イベント参加履歴

 参加者向けアンケートフォーム機能による取得情報

 住所、電話番号

事案への対応

今回の事案発生を受けPeatix社がとった対応は以下の通り。

 不正アクセス経路の遮断、およびセキュリティ強化

 2020年11月15日に全パスワードの再設定必須措置を実施

 当該事案に対応する問い合わせ専用のサポートセンターの開設

関連を主張する122万件のパスワード平文リストも

ハッキングフォーラム上には11月11日頃 Peatixのデータベースとされるファイルが公開された。*1

Peatixを含む複数のサービスから窃取した情報を販売していたデータをフォーラムへ放流したものとみられる。*2

Peatixは最大677万件と発表しているが、投稿上の表記ではフォーラム上に公開されていたファイルのレコード数は約421万件。フルセットのデータが存在するかは確認ができていない。

データベース情報が放流されてから4日後にdehash(パスワードハッシュから元の文字列を特定)したことを主張するリストも公開された。

元の投稿にあったサンプルレコードは{SSHA}の文字列が見受けられるため、Salt付SHA1によるハッシュ化を行っていたとみられる。

*1:チケット販売サイト「Peatix」利用者リスト ネットで取り引き,NHK,2020年11月20日

*2:関連スレッドには今回のデータ放流につながったとみられる関係者のトラブルらしき書き込みも見受けられる

退会時手順に注意

退会後もPeatixのデータベース上には登録されたデータが残る可能性がある。(削除フラグが立てられるだけでデータベース上は残る可能性)

使い捨てのメールアドレスを使用するなど、登録データのクリーニングを行った後、案内された退会手順に従うのが望ましい。

変更するアドレスに変更確認メールが届くため、アドレスは架空のものではなく、メールを受け取れる環境の必要あり。

プレスリリース上での記載は確認できなかったが、今回の流出に既退会者の情報が含まれていた懸念もある。

登録されたニックネームや連絡先電話番号、プロフィールなどを削除。

  1. メールアドレスを使い捨てアドレスに変更
  2. 指定の案内に従いPeatixの退会を実行
  3. 使い捨てアドレスの廃棄処理