2013年07月20日

NAVERのパスワード漏えいはNAVER以外のサービスにも影響あるよねぇ このエントリーをはてなブックマークに追加

【NAVER】NAVER会員情報への不正アクセスに関するお知らせとパスワード変更のお願い
7月17日20時51分から18日10時57分まで不正アクセスに関する痕跡を確認。
流出した可能性のある情報
Eメールアドレス、ハッシュ化されたパスワード、アカウント名(ニックネーム)

流石にパスワードはハッシュ化されていたと見えるが、これも同じハッシュ値だと同じパスワードだとわかるので、犯人が前から保有していたNAVERアカウントを持っていれば、自分が設定したパスワードと同じハッシュ値を検索することでパスワードが分かってしまうアカウントもあるかもしれんな。
(パスワードだけでハッシュ値を求めるような関数ではなく、アカウント名とパスワードを組み合わせてハッシュ値を作るとよいのかもしれんな)

で、(めでたく)NAVERアカウント(Eメールアドレス)とパスワードが一致した場合、今度は犯人は別のサービスでそれらを組み合わせてログインを試みる可能性がある。勿論、いろんなサービスで同じパスワードを使うなよという突っ込みはあるだろうが、みんな結構使い回してるのが現実じゃないのかな?

※日本以外で提供しているNAVERサービスのアカウント、およびTwitter・Facebook・livedoorアカウント等でログインするOpen ID認証システムにより生成されたアカウントは対象外となります。
というのはOpenIDを使ったアカウントの場合はの場合はハッシュ化されたパスワードを格納するレコードには何もないのかもしれんな。
NAVERアカウントを登録したい - NAVERヘルプセンターには
NAVERアカウントの登録画面でご利用になるユーザー名、メールアドレス、パスワードを入力してください。このメールアドレスがログインIDとなります。
と書かれている。日本で提供しているNAVERサービスを利用するためのNAVERアカウント169万2,496件に影響があったということは、犯人は169万2,496件のメールアドレスの束を入手したことになるね。
で、スパムメール業者にこれが売られたとなると、もうNAVERとしては「パスワードがハッシュ化されてるから大丈夫だよね、ね?」というわけにはいかないであろう。
で、このメールアドレスを使って悪意のある第三者が「あなたのNAVERアカウントは流出しました、いますぐこちらでパスワードを変更してください」と偽のフィッシングサイトへ誘導してパスワードを入力させたりするような事態が起きなきゃいいけどねぇ・・・

ちなみに、【重要】NAVER会員ログインパスワード変更のお願いから「パスワード再設定」を押すと「500 - Internal Server Error」になるんだがw
大丈夫か?NAVER?


posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


×

この広告は180日以上新しい記事の投稿がないブログに表示されております。