ブログ - pictBLand及びpictSQUAREのデータベース情報が外部へ流出
ここ2日ほど,この漏洩事故が話題.
運営しているGMW社が詳細な情報を開示しているから,他社も先んじて対策を取ることができているという点は評価されるべきかな.
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/08/17/030141
引用:
今回初めて知ったのだけれど,pictBLand というのはBL専門のSNSで,pictSQUARE というのはオンライン即売会サービスで,同じGMWという会社が運営している.先日コミケもあったしオタク界隈に影響が大きい模様.
Webが改竄され意味不明メッセージの設置と外部サイトに転送されるよう設定され,データベースがハッキングフォーラムで販売(完売)しているそう.
システム的にいうと流出したパスワードはMD5でハッシュ化されただけなので,レインボーテーブルを使えば解読も比較的容易.
よって類似のオタク用サイトが狙われる事が想定されるので,ID(メアド)とパスワード使い回ししている人はパスワードを変更してねってことで影響力が大きいとされているようです.
パスワードをデータベースの保存するときは暗号化,ハッシュ化みたいなのがあるけどハッシュ化もMD5だと弱いので,せめてソルトをつけましょうと言うことと,じゃぁそのソルトはどこに保存ということで,徳丸さんが詳しく説明してくれています.
ソルト付きハッシュのソルトはどこに保存するのが一般的か
https://qiita.com/ockeghem/items/d7324d383fb7c104af58
漏洩事件があると,この本が売れるんだとIPUSIRONさんがつぶやいていますね.
『ハッキング・ラボで遊ぶために辞書ファイルを鍛える本』
https://hack.booth.pm/items/1933611
辞書を鍛える,というのは良いですね.確かにツールはあるのだから,総攻撃よりは辞書のほうが効率が良い.漏洩して複合化されたパスワードリストを手に入れられれば,より高速化できそう.
運営しているGMW社が詳細な情報を開示しているから,他社も先んじて対策を取ることができているという点は評価されるべきかな.
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/08/17/030141
引用:
GMWが運営するサービスが不正アクセスを受け、pictBLand のサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。今回の不正アクセスによる影響を受けた件数は同社より2023年8月16日時点で明らかにされていないが、サービスの累計登録者数は約130万人
今回初めて知ったのだけれど,pictBLand というのはBL専門のSNSで,pictSQUARE というのはオンライン即売会サービスで,同じGMWという会社が運営している.先日コミケもあったしオタク界隈に影響が大きい模様.
Webが改竄され意味不明メッセージの設置と外部サイトに転送されるよう設定され,データベースがハッキングフォーラムで販売(完売)しているそう.
システム的にいうと流出したパスワードはMD5でハッシュ化されただけなので,レインボーテーブルを使えば解読も比較的容易.
よって類似のオタク用サイトが狙われる事が想定されるので,ID(メアド)とパスワード使い回ししている人はパスワードを変更してねってことで影響力が大きいとされているようです.
パスワードをデータベースの保存するときは暗号化,ハッシュ化みたいなのがあるけどハッシュ化もMD5だと弱いので,せめてソルトをつけましょうと言うことと,じゃぁそのソルトはどこに保存ということで,徳丸さんが詳しく説明してくれています.
ソルト付きハッシュのソルトはどこに保存するのが一般的か
https://qiita.com/ockeghem/items/d7324d383fb7c104af58
漏洩事件があると,この本が売れるんだとIPUSIRONさんがつぶやいていますね.
『ハッキング・ラボで遊ぶために辞書ファイルを鍛える本』
https://hack.booth.pm/items/1933611
辞書を鍛える,というのは良いですね.確かにツールはあるのだから,総攻撃よりは辞書のほうが効率が良い.漏洩して複合化されたパスワードリストを手に入れられれば,より高速化できそう.
