※掲載リンクはアフィリエイト広告を含む場合があります。
速報。随時記事更新予定!対象サービス利用してる人は最低限パスワード変更を
以下、Google翻訳
16サービス、合計6億2000万人分の顧客データがダークウェブで販売中・・・
INDEX
620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts] – theregister
Dubsmash, Armor Games, 500px, Whitepages, ShareThis, and more said to be up for grabs for $$$s in BTC
For less than $20,000 in Bitcoin, it is claimed, the following pilfered account databases can be purchased from the Dream Market cyber-souk, located in the Tor network:
Dubsmash (162 million), MyFitnessPal (151 million), MyHeritage (92 million), ShareThis (41 million), HauteLook (28 million), Animoto (25 million), EyeEm (22 million), 8fit (20 million), Whitepages (18 million), Fotolog (16 million), 500px (15 million), Armor Games (11 million), BookMate (8 million), CoffeeMeetsBagel (6 million), Artsy (1 million), and DataCamp (700,000).
Bitcoinが2万ドル未満であれば、TorネットワークにあるDream Marketサイバースークから、次のような盗まれたアカウントデータベースを購入できると主張されています。 Dubsmash(162百万)、MyFitnessPal(151百万)、MyHeritage(92百万)、ShareThis(41百万)、HauteLook(28百万)、Animoto(25百万)、EyeEm(22百万)、8fit(2000万)、Whitepages( 1800万)、Fotolog(1600万)、500px(1500万)、Armor Games(1100万)、BookMate(800万)、CoffeeMeetsBagel(600万)、Artsy(100万)、DataCamp(700,000)。
追記!【500px】の場合。
500px photo-sharing site says it was hacked in 2018 – CNET
The July 2018 hack, which was discovered Saturday, yielded user information such as users’ first and last names, 500px usernames, email addresses and hashed passwords, the site told users Tuesday. If users provided their birth date, local region or gender information when they registered, that information is also affected, the site said.
“If you were a 500px user on or prior to July 5, 2018, you have been affected,” 500px said in a blog post. “Our engineers are closely monitoring our platform and we’ve found no evidence to date of any recurrence of this issue.”
土曜日に発見された2018年7月のハッキングは、ユーザーの姓名、500pxのユーザー名、電子メールアドレス、ハッシュされたパスワードなどのユーザー情報を生み出した、とサイトはユーザーに語った。ユーザーが登録時に生年月日、地域、または性別の情報を提供した場合、その情報も影響を受ける、と同サイトは述べた。 「2018年7月5日以前に500pxユーザーだった場合、あなたは影響を受けています」と500pxがブログ記事で述べています。 「当社のエンジニアは当社のプラットフォームを綿密に監視しており、この問題が再発したという証拠はこれまでにありません。」
500px said its investigation has shown no evidence individual users’ accounts or other personal data such as credit card information were accessed. As a precaution, 500px said it’s requiring all users to reset their account passwords.
The hack appears to have occurred less than two weeks after 500px, which has been transforming itself into an image-licensing business, announced it was backing away from a framework that let people freely share their photos with others. The site’s announcement that it would disable the ability for people to upload or download photos shared under Creative Commons licenses didn’t sit well with many users.
500pxは、その調査は個々のユーザーのアカウントやクレジットカード情報のような他の個人データがアクセスされたという証拠を示さなかったと言いました。念のため、500pxは、全ユーザーに自分のアカウントパスワードの再設定を要求していると述べた。画像ハッキングビジネスに変貌を遂げてきた500pxが、自分の写真を他の人と自由に共有できるようにする枠組みから撤退したと発表してから、ハックは2週間以内に起きたようだ。 Creative Commonsのライセンスの下で共有されている写真をアップロードまたはダウンロードすることができないというサイトの発表は、多くのユーザーにとってうまくいきませんでした。
EyeEmの場合。今朝届いたデータ漏洩メールから前述のニュースにたどり着く
今朝EyeEmからメールで個人情報流出のお知らせが。パスワードは暗号化されているのでその点は問題ない的な書き方だけど念のためパスワード変更推奨とのこと。
https://twitter.com/koukichi_t/status/1095454166305038339
EyEmアプリ起動してみるとログアウト状態に(ログアウトの絡みで写真が消えたようにも見える)。EyeEmでこの件投稿してみたところ他ユーザーたちも同じ状況の模様。そして今回のデータ流出対象として同じく海外写真アプリ500pxアプリを起動してみるとこちらも強制ログアウトしたかんじ?ログイン施行するもログインうまくいかず。
#500px もデータ流出対象に上がってるけどアナウンスでてるんだろうか?アプリ起動で強制ログアウトしてるぽい。ログインうまくいかない pic.twitter.com/GDJHUiWdFB
— KT (@Koukichi_T) February 13, 2019
先月のEyeEm売上通知の暴走とX(旧X(旧Twitter))公式アカウントの乗っ取り時にすでにはじまっていた?
The sales on your Earnings page is correct: https://t.co/QAjhGd6Rvb
— EyeEm (@EyeEm) January 24, 2019
とはいえ、今回ほかの多くのサービスでも同じ状況が確認されているみたいなので同時期に他サービスでも同じような問題が発生してたんだろうか?500px最近使ってなかったので異変起きてても気づきようもなかったが。
追記!EyeEmの事後アナウンスで1カ月前にサイバー攻撃の形跡みたいな話。やはり関係あった?
EEの情報漏洩は1月前にその兆候があったとかなんとかだったけど先月のPayDay暴走&Twitter乗っ取りがまさにあれだったわけだよなきっと。それ以前から諸々あれだったが全部繋がってんだろか。そして500pxのぞいてもないけどだいじょぶだろうかw
— KT (@Koukichi_T) February 17, 2019
以下、その日に記事書いて諸々の理由により下書き保存のままとしていたもの。売上通知メールの暴走とX(旧X(旧Twitter))アカウント乗っ取りの経緯など
下書き解放:EyeEmに異常事態発生? #EyeEmPaid 売上通知暴走!通知と実際の売上が大幅に違う。そしてX(旧X(旧Twitter))アカウント乗っ取とり?EyeEm/ストックフォト最新情報2019
EyeEmで異常事態。毎月月末はGetty Imagesなどパートナーサイトでの売り上げ通知が届く。今回そのタイミングでおかしなことが。
今回、1時間売上通知メールが届きっぱなしという異常事態。通知売上枚数と実際の枚数が大きく異なる
そして売上通知の数字と支払いページの通知が大きく異なる。
The sales on your Earnings page is correct: https://t.co/QAjhGd6Rvb
— EyeEm (@EyeEm) January 24, 2019
通常EyeEmは「いくら問い合わせても返事くれないどうなってるんだ?」とユーザーたちが当惑する程度に返事をくれない。が、見ての通り今回X(旧X(旧Twitter))で返信くれた。通知の枚数が間違っており、正しくは支払いページの枚数、金額。何人かのユーザーが同様のツイートをしていたため今回回答が得られたのかと。
公式SNSでも問題が発生していることをアナウンス。
Looking to find out your updated total sales from #eyeempaid? You can find your accurate summary here → https://t.co/QAjhGd6Rvb
— EyeEm (@EyeEm) January 24, 2019
珍しくアナウンスしてるな、さすがにまずいと思ったんだろうかw
— KT (@Koukichi_T) January 24, 2019
1時間メールが届きっぱなして普通に異常だろwEE絡みはそういうの多い。そしてなかなか表に出ない問題
— KT (@Koukichi_T) January 24, 2019
そりゃそうだ。売上枚数の違いもそうだけど、冒頭で触れた売れた枚数分メールが届くわけで。そっちの方があれだが…今回240通順番に届いた。一時間かけてw
とか言ってたら、売上通知問題の直後にEyeEm公式X(旧X(旧Twitter))がビットコインスカムツイートを。しかも日本語
現時点でもツイート削除せず掲載したまま。どう考えても乗っ取りだと思うがだいじょうぶなんだろうか。
※ビットコインの送金や記載URLへのアクセスは控えてください。
またこんなん。だいじょうぶだろうかwメール通知暴走といい。なんかされてんの? pic.twitter.com/ZF0Ugna1tQ
— KT (@Koukichi_T) January 24, 2019
https://twitter.com/Koukichi_T/status/1088540847711244288