7月17日20時51分から18日10時57分まで不正アクセスに関する痕跡を確認。
流出した可能性のある情報
Eメールアドレス、ハッシュ化されたパスワード、アカウント名(ニックネーム)
流石にパスワードはハッシュ化されていたと見えるが、これも同じハッシュ値だと同じパスワードだとわかるので、犯人が前から保有していたNAVERアカウントを持っていれば、自分が設定したパスワードと同じハッシュ値を検索することでパスワードが分かってしまうアカウントもあるかもしれんな。
(パスワードだけでハッシュ値を求めるような関数ではなく、アカウント名とパスワードを組み合わせてハッシュ値を作るとよいのかもしれんな)
で、(めでたく)NAVERアカウント(Eメールアドレス)とパスワードが一致した場合、今度は犯人は別のサービスでそれらを組み合わせてログインを試みる可能性がある。勿論、いろんなサービスで同じパスワードを使うなよという突っ込みはあるだろうが、みんな結構使い回してるのが現実じゃないのかな?
※日本以外で提供しているNAVERサービスのアカウント、およびTwitter・Facebook・livedoorアカウント等でログインするOpen ID認証システムにより生成されたアカウントは対象外となります。というのはOpenIDを使ったアカウントの場合はの場合はハッシュ化されたパスワードを格納するレコードには何もないのかもしれんな。
NAVERアカウントを登録したい - NAVERヘルプセンターには
NAVERアカウントの登録画面でご利用になるユーザー名、メールアドレス、パスワードを入力してください。このメールアドレスがログインIDとなります。と書かれている。日本で提供しているNAVERサービスを利用するためのNAVERアカウント169万2,496件に影響があったということは、犯人は169万2,496件のメールアドレスの束を入手したことになるね。
で、スパムメール業者にこれが売られたとなると、もうNAVERとしては「パスワードがハッシュ化されてるから大丈夫だよね、ね?」というわけにはいかないであろう。
で、このメールアドレスを使って悪意のある第三者が「あなたのNAVERアカウントは流出しました、いますぐこちらでパスワードを変更してください」と偽のフィッシングサイトへ誘導してパスワードを入力させたりするような事態が起きなきゃいいけどねぇ・・・
ちなみに、【重要】NAVER会員ログインパスワード変更のお願いから「パスワード再設定」を押すと「500 - Internal Server Error」になるんだがw
大丈夫か?NAVER?
