SurveyLama

データ漏洩警告サービス Have I Been Pwned (HIBP) は、SurveyLama が2024年2月にデータ漏洩に見舞われ、440万人のユーザーの機密データが流出したと警告している。

SurveyLamaは、登録ユーザーがアンケートに回答すると報酬がもらえるオンラインプラットフォームである。フランスの Globe Media 社が所有するこのプラットフォームは、高額の報酬(最高 20 ドル)、迅速な支払い、複数の引き出しオプションが評価されている。

2月上旬、HIBPの作成者であるトロイ・ハント氏は、同サービスに影響を与えたデータ漏洩に関する情報を入手した:

  • 生年月日
  • 電子メールアドレス
  • IPアドレス
  • フルネーム
  • パスワード
  • 電話番号
  • 物理的住所

ハント氏は、影響を受けたユーザーの一人から暴露の通知を受け、独自にデータを確認したと述べた。

データの信憑性について HIBP から問い合わせを受けた SurveyLama は、影響を受けたユーザーにはすでに電子メールで通知し、セキュリティインシデントを確認したと述べた。

このデータセットには 4,426,879 のアカウントに関する情報が含まれており、昨日HIBP に追加されたため、影響を受けたユーザーはすでに電子メールによる通知を受け取っているはずです。

同プラットフォームによると、公開されたパスワードは、塩漬けSHA-1、bcrypt、またはargon2ハッシュ形式で保存されていたため、直接使用可能な平文ではないという。

ハッシュ化することで、クラッキングに対する抵抗力は増しますが、ブルートフォースに対して無敵というわけではありません。特に、塩漬け SHA-1 で保護されたパスワードには既知の脆弱性があり、衝突攻撃を受けやすくなっています。

とはいえ、SurveyLama のアカウント所有者は、すぐにサービスのパスワードをリセットし、同じ認証情報を使用する可能性のある他のプラットフォームでもパスワードをリセットする必要があります。

ハント氏は、漏えいしたデータがどこかに公開されたとは知らなかったと述べており、現在のところ暴露は限定的である。

しかし、このデータセットが悪人の手に渡った場合、個人的に悪用され、最終的にはより広範なサイバー犯罪コミュニティに流出する可能性があるため、ユーザーはできるだけ早く防御策を講じる必要がある。