世界で最も訪問数の多いウェブサイトの1つであるImgurが、2014年にハッキングの被害に遭っていたことを認めた。
Imgurは米ZDNetに対し、170万件の電子メールアドレスとパスワードがハッカーに盗まれたと明かした。データにはSHA-256アルゴリズムを利用していたという。
Imgurによると、同サイトでは実名や住所、電話番号の情報を「求めたことがない」ためそうした情報は流出していないという。
Imgurは月間1億5000万人のユーザーを擁するが、盗まれたアカウントはそのごく一部だ。
ハッキングは、「Have I Been Pwned」を運営するTroy Hunt氏に流出したデータが送られるまで4年間気づかれなかった。Have I Been Pwnedは、漏えい情報を確認できるサイトだ。Hunt氏は米国時間11月23日、同社に通知した。米国では感謝祭の祝日にあたり、多くの企業が休業していた。
Imgurは翌日、影響を受けたアカウントのパスワードのリセットを開始し、情報を公開して、データ漏えいをユーザーに警告した。
Hunt氏は、Imgurの迅速な対応を評価した。「この事件についてImgurに通知したのは、米国の感謝祭の連休真っただ中の夜遅くだった」とHunt氏は述べた。「これに直ちに気づき、影響を受けたアカウントを保護し、24時間以内に個人に通知して公表文を準備したことは、まさに模範的だ」(Hunt氏)
Imgurの最高執行責任者(COO)を務めるRoy Sehgal氏は、アカウント情報が流出した経緯については「まだ調査中」としたが、データ流出以降、同サイトのセキュリティは改善されていると述べた。Imgurは2016年に、より強力なbcryptアルゴリズムに移行したと述べた。
またSehgal氏は、Imgurが拠点を置くカリフォルニア州の司法長官や警察などの関連行政機関にデータ流出について開示する計画だと述べた。
Hunt氏によると、電子メールアドレスの60%は既に、48億件を超えるレコードで構成されるHave I Been Pwnedのデータベースに含まれているという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」