MyFreeCamsというアダルトビデオストリーミング・チャットサービスの高額課金ユーザのアカウント情報が200万人分漏洩して販売に出されました。
SQLインジェクションでデータベースから情報を取り出したようです。取得された情報には、ユーザ名、プレーンテキストのパスワード、メールアドレスなどが含まれていたようです。
事態判明後に関連アカウントについてパスワードがリセットされたようですので、直接的な被害は大きくなかったのかもしれません。でも、課金ユーザはこういったサイトで課金ユーザとして登録しているということが漏洩したわけです。パスワードは変更されたとしても、ユーザ名やメールアドレスは漏洩したわけですから、身に覚えがある人は背筋が凍った感じがしたことでしょう。
SQLインジェクションされない強いサイトを作ることも大事ですが、データの保存形式をどうするかの設計にも気を使ってほしいです。
私はこれまではパスワードはHASHしたものを保存してほしいと思っていましたが、この話を見て、ユーザ名とかメールアドレスとかも普通には読めない形式で保存してほしい、と思いました。
なんだかとっても心配です。
参考記事(外部リンク):MyFreeCams site hacked to steal info of 2 million paying users
www.bleepingcomputer.com/news/security/myfreecams-site-hacked-to-steal-info-of-2-million-paying-users/
この記事をシェア |
---|