LinkedIn、侵入および「一部」ユーザーのパスワード漏洩を認める

次の記事

LinkedInのパスワード650万人分が漏洩のもよう〔アップデート:被害アカウントのパスワードは強制変更へ〕

LinkedInのパスワード650万人分が漏洩したニュースがネットで報じられた後間もなく、LinkedInは慌てて行動を起こし独自の調査を開始した。

午前中の大部分をセキュリティー侵害を確認できないという声明で費やしたが、同社ブログの最新発表において、漏洩したパスワードの少なくとも一部はLinkedInアカウントのものであることを公表した。

だが、解明されていない問題は山ほどある。同社は未だに何人のユーザーが影響を受けたのか、どうアカウントが侵入されたのか、パスワードに対応したメールアドレスも漏洩したのかなどについて、正式に発言していない。LinkedInのVicente Silveiraは、調査は完了にはほど遠いが運が良ければすぐに問題を発見し発表できるだろうと、取り急ぎ語った。

一方で同社は、すでにパスワードを変更したユーザー(もう変えたよね?)や新たにアカウントを作ったユーザーは心配する必要がないと語った。同社のパスワード・データベースに対するハッシュおよびソルト処理を最近開始したためだ。

巨大なパスワードのダンプに現れているパスワードがどのような種類のものなのか気になるなる人のために、FictiveKinのチームが、LeakedInというツールを公開している。テキストを入力するとSHA-1アルゴリズムでハッシュした後、漏洩ファイルと比較してくれる。これまでのところ”linkedin”や”password”といった札付きが発見されているが、そこまで弱いパスワードを使っていれば最初に解読されるのも当然だろう。

John Herrman@jwherrman 7 Jun 12
“penus”というLinkedInパスワードを使っている誰かさんは、ハックされているみたいだ leakedin.org

Ross Neumann@rossneumann
@jwherrman 気の毒なSunepさん。彼の名前を逆から書くとそんなすごいパスワードを思いつきそう。
7 Jun 12

同社は影響を受けたユーザーへの対応について、以下の声明を発表した。

当社ではこの状況の調査を継続すると共に、被害にあったアカウントに関して以下の対策を講じている。

漏洩したパスワードに対応するアカウントを持つメンバーは、そのLinkedInアカウントのパスワードがすでに無効であることに気づくだろう。

また該当するメンバーには、LinkedInからパスワードのリセット方法が記されたメールが送られる。そのメールには一切リンクは書かれていない。セキュリティー上の理由により、メールに記載されたリンク先のウェブサイトでは、絶対にパスワードを変更するべきではない。

影響を受けたメンバーには、当社カスタマーサポートチームから2通目のメールが送られ、この状況に関する若干詳しい事情とパスワード変更を依頼されている理由が説明される。

[原文へ]

(翻訳:Nob Takahashi)

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中