2021年年初にハッカーがDailyQuiz社のデータベースに侵入。データを盗み販売したため1300万人のDailyQuizユーザーの個人情報がネット上に流出しました。
Recorded Futureが2つの異なる情報源から入手したこのデータには、平文のパスワード、電子メール、830万アカウントのIPアドレスなど、1280万人のユーザーに関する情報が含まれています。
盗まれたデータは、2021年1月以降ハッキングフォーラムやTelegramチャンネルで2,000ドルの価格で販売されていました
このデータは、オーストラリアのセキュリティ研究者トロイ・ハントが運営するウェブサイトHave I Been Pwnedにも提供されており、DailyQuizのユーザーは「Have I Been Pwned」のサイトにアクセスして、このセキュリティ事件で自分の個人情報が流出したかどうか確認することができます。
新たな侵害。Daily Quizが1月に侵入され、800万件のユニークな電子メールアドレスが流出しました。データにはユーザー名、IPアドレス、パスワードが”平文”で含まれていました。
https://haveibeenpwned.com/(パスワード流出確認サイト)
ユーザーがアカウントを登録して共有可能なクイズを作ることができるDailyQuiz(旧称:ThisCrush)は、現在同社のウェブサイトに表示されておりセキュリティ侵害を認めています。
特にユーザーのパスワードを平文で保存していたとのことで、同社はさらに説明を強いられることがあるかもしれません。
しかし、パスワードを平文で保存するという初歩的な設計ミスを行ったのはDailyQuizが最初の企業ではなく、ロシアのソーシャルメディア大手のVK、イタリアの電子メールプロバイダーのEmail.it、株式取引サービスのRobinhood、GoogleのG Suiteプラットフォーム、ソーシャルメディア大手のInstagramなども同じ過ちを繰り返しています。
DailyQuizユーザーの現在のリスク
DailyQuizユーザーは他のオンラインアカウントにもリスクがあり、サイバー犯罪者グループはDailyQuizの事件ように情報を収集し、そのデータを使ってクレデンシャルスタッフィング攻撃を行います。他のオンラインサービスでDailyQuizのユーザー名/Eメールとパスワードの組み合わせを使用し、他のサービスのアカウントも乗っ取ろうとするものです。
クレデンシャルスタッフィング攻撃とは?Credential Stuffing Attack
クレデンシャルスタッフィング攻撃は、ハッシュ化されたパスワード(ほとんどのパスワードが保存されている形式)を解読するために膨大な計算機と資金を費やすことなく、攻撃者が平文のパスワードをすぐに使用できるため、この事件のような情報流出によってさらに被害が拡大します
ユーザー名、メールアドレス、パスワードを他のサイトで再利用したことがわかっているDailyQuizのユーザーは、すぐに変更することをお勧めします。
ソーシャルメディアのプロフィールに関連付けられているアカウントや、何らかの金融情報を保持しているアカウントがある場合は、チェックして更新する必要があります。
コメント