ここ数時間で、Multiplayer.it データベースからのデータ漏洩に関するいくつかの報告がインターネット上に掲載されました。サイトから抽出された約 500,000 件のレコードで構成されるユーザー名、電子メール、パスワード、ハッシュ、ソルトが含まれます。
状況を明らかにしてユーザーを安心させたいと考えていますが、詳細に入る前に、いくつかの重要な点を確認します。
- 漏洩は無害であり、ユーザーは危険にさらされません。
- 問題の出来事は2018年に遡り、すでに2019年に発生していた。
- ユーザーデータには実際のリスクはありません。
- 是正措置は必要ありません。
このサイトを所有する NetAddiction Srl の技術部門は、情報漏洩やデータベースのセキュリティと完全性に関する問題を検証するための措置を直ちに講じたところ、進行状況、改ざん、不正アクセスに異常は見られませんでした。このため、情報盗難に含まれるデータを分析してデータの出所を検証し、それが実際に新たな漏洩であるかどうかを確認することで、漏洩をより深く調査することが決定されました。チェックの最初の結果により、次のことが確認されました。盗まれた情報は全電子メールの約半数に関係します現在、サイトのユーザー ベースに存在します (現在、Multiplayer.it データベースに含まれている合計約 800,000 の電子メール アカウントのうち、約 470,000 の有効な電子メール アカウント)。
現在のデータベース内の電子メールの登録日と、漏洩したデータベース内の最新の識別子電子メールを照合することで、次のことが確認できます。2018年にデータ盗難が発生そして最近また報道されました。これはつまり、2019年以降にサイトに登録した人は今回のリークには含まれていない。
あなたのパスワードは安全ですか?
これは 2019 年と同じ出来事である、つまり新たな漏洩ではないことに注意することが重要です。当時でも私たちは一連の詳細な分析を実施し、以下に報告する結論に達しました。これは、漏洩の深刻度がいかに低いかを強調しています。
電子メール、パスワード、ハッシュを分析することで、次のことが推測されました。データ盗難は vBulletin プラットフォームを使用して発生しましたこのソフトウェアは、同社が公式 Multiplayer.it フォーラムを管理するために数年前に 2019 年末まで使用していましたが、その後、一連の脆弱性のため、2020 年から使用を中止することを決定し、アクセスできなくなりました。ソフトウェアの一部の欠陥により、フォーラムのメンバーがユーザー自身のユーザー名と登録メールアドレスを明確に表示することにより、ユーザー プロフィールを参照したり参照したりできる可能性があります。したがって、単純なナビゲーションを通じて情報が盗まれる可能性があります。
さらに、漏洩の一部であった暗号化されたパスワードは、当社のデータベースに実際に存在するパスワードとは一致しません。 vBulletin が廃止される数年前から、フォーラムの登録手順の管理は実際にはサイトの手順と統合されており、社内で開発されたソフトウェアによって管理されていました。このため盗まれたパスワードは使用されたパスワードと一致しませんこれらは vBulletin によって自動的に作成されるパスワードですが、Multiplayer.it では使用されないためです。つまり、パスワードは、ハッシュ コードとソルト コードを使用して復号化されたとしても、登録時にユーザーが実際に入力したものとは異なるため、依然として有効ではなく、サイトでは使用できません。
リスク評価と講じられた措置
私たちはその時点で、いくつかの理由から漏洩は「危険」ではないとすでに評価していました。
リークには主に、フォーラムがアクティブだったときにフォーラム自体を閲覧することですでにクリアテキストで表示されていた電子メールのリストが含まれています。
漏洩に含まれるパスワードは暗号化されており、さらに重要なことに、メイン サイトではアクセス管理のためのシングル サインオン (SSO) が実装されているため、ログインには使用されませんでした。
さらに、このデータの元となったフォーラムは 2020 年の時点で活動を停止しています。
これらすべての理由から、当時、私たちはプライバシー保証人に連絡する必要はなく、ましてやユーザーにパスワードの変更を強制する必要はないと考えていました。リークに含まれていたものはサイトへのアクセスに使用されていなかったため。したがって、私たちはフォーラム自体でインシデントを報告することに限定し、必要な予防措置を講じた後、Multiplayer.it のこのコンポーネントを閉鎖してオフラインにしました。
技術的な説明が十分に明確であることを願って、6 年前に遡る問題にもかかわらず、この時間に起こったことと、警報が発せられたことについてお詫びを申し上げます。サービスごとに異なるパスワードを使用し、定期的に変更することは常に推奨されていますが、同時に読者を安心させたい同じセキュリティキーを共有するサイトやその他のサービスの今日の使用に関して、長期間パスワードを変更していない場合はパスワードを変更するよう提案し、ただし、盗まれたデータに挿入されたパスワードは、たとえ復号化されたとしても、まだ機能していません。
当社は引き続き状況を監視し、ユーザーのデータを保護するためのベスト セキュリティ プラクティスを実装していきます。その他のニーズや説明のリクエストについては、私たちのサポートは常にアクティブであり、このニュースのコメントに従います。