バグバウンティ / バグ報奨金制度(用語)
Parler(企業・サービス)

ウェブホストEpikはハッキング数週間前に重大なセキュリティ上の欠陥を警告されていた

次の記事

「本当」のクロスプレイと協力プレイがみんなで楽しめるソーシャルゲームをElodie Gamesが開発中

ハクティビスト集団「アノニマス」に関連するハッカーたちは、ウェブホストおよびドメインレジストラであるEpik(エピック)から、ギガバイト単位のデータをリークしたと発表した。Epikは、主流のプラットフォームから追い出されたGabParler8chanなどの極右サイトの避難先となっている。

このグループは、先に公開されたデータのトレントファイルに添付された声明の中で、180ギガバイトは、Epikの「実際の所有者と管理者を追跡するために必要なすべて」を含む「10年分」の企業データに相当すると述べている。グループは、顧客の支払い履歴、ドメインの購入と譲渡、そしてパスワード、認証情報、従業員のメールボックスを手に入れたと主張した。盗まれたデータのキャッシュには、同社の内部ウェブサーバーのファイルや、エピックに登録されているドメインの顧客記録を含むデータベースも含まれている。
関連記事
極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止
極右お気に入りのレジストラが「検閲に強い」サーバーを構築中

ハッカーたちは、どのようにしてデータを入手したのか、いつハッキングが行われたのかについては言及していないが、最新のファイルのタイムスタンプによると、ハッキングが行われたのは2月下旬のようだ。

Epikは当初、情報漏洩の事実を知らないと記者に述べていたが、創業者であり最高経営責任者であるRobert Monster(ロバート・モンスター)氏が9月15日の水曜日に送信したメールは、「疑惑のセキュリティ事件」 についてユーザーに警告していた。

TechCrunchはその後、Epikが情報漏洩の数週間前に重大なセキュリティ上の欠陥を警告されていたことを知った。

セキュリティ研究者のCorben Leo(コーベン・レオ)氏は、1月にLinkedInを通してEpikの最高経営責任者であるモンスター氏に、ウェブサイトのセキュリティ的脆弱性について連絡していた。レオ氏は、同社が脆弱性の報告に対して報奨金を払うバグバウンティや、他の脆弱性の報告の方法を用意しているかどうかを尋ねた。LinkedInのメッセージは既読になったが、返事はなかった。

レオ氏がTechCrunchに語ったところによると、EpikのWHOISページでパブリックドメインの記録のPDFレポートを生成するために使われているライブラリには、10年来の脆弱性があり、会社のパスワードなどの認証なしに、誰でもリモートで内部サーバー上で直接コードを実行することができたという。

「このコードを貼り付けるだけで、そのサーバー上であらゆるコマンドを実行することができる」とレオ氏はTechCrunchに語った。

レオ氏は、公開されているWHOISページから、サーバーにユーザー名を表示するよう求める概念実証用(PoC)のコマンドを実行し、Epikの内部サーバー上でコードが実行できることを確認した。しかし、違法になるため、サーバーがどのようなアクセス権を持っているかについてはテストしなかったという。

アノニマス・ハクティビストが、レオ氏が発見したのと同じ脆弱性を利用したかどうかは不明だ(盗まれたキャッシュの一部には、EpikのWHOISシステムに関連するフォルダも含まれているが、ハクティビストたちは連絡先を残さず、コメントを得ることができなかった)。しかし、レオ氏は、ハッカーが同じ脆弱性を利用し、そのサーバーがネットワーク上の他のサーバー、データベース、システムにアクセスできた場合、そのアクセスによって、2月にエピックの内部ネットワークから盗まれた種類のデータにアクセスできた可能性があると主張している。

レオ氏は、TechCrunchに対し「ハッカーは私が見つけた脆弱性を利用したと思っている」と述べ、その欠陥が修正されたことを確認した。

モンスター氏は、LinkedInでレオ氏のメッセージを受け取ったことを確認したが、情報漏洩についての質問には答えず、脆弱性がいつ修正されたかについても言及しなかった。「賞金稼ぎが自分たちのサービスを売り込んでくる。私は、そのうちの1人だと思ったんだ」とモンスター氏はいう。「私がそれに対応したかどうかわからない。あなたはすべてのLinkedInのスパムメールに答えていますか?」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Yuta Kaminishi)