【今日のニュースから】ディスクユニオン、会員個人情報70万件漏洩、DBに生パスワードを保存していた模様

ちょうどパスワードに関する記事を書いていたときにこのニュースがやってきてあわわわってなりました






ディスクユニオンで会員個人情報70万件流出

CD・レコード販売のディスクユニオン(東京都千代田区)は2022年6月29日、オンラインショップに登録されていた会員の個人情報最大約70万1000件が外部へ漏えいした恐れがあるとして、公式サイト上で謝罪した。

漏えいの可能性が確認されたのは、オンラインショップ「diskunion.net」「audiounion.jp」に登録された会員の氏名、住所、電話番号とファクス番号、メールアドレス、ログインパスワード、会員番号。決済を外部委託しているため、クレジットカード情報の漏えいの可能性はないとしている。

ディスクユニオン、約70万件の個人情報漏えい恐れで謝罪 パスワードなど: J-CAST ニュース【全文表示】


どんな攻撃を受けて流出に繋がったかまでは書かれていませんが、このところ立て続けにSQLインジェンクションによる情報流出の話を目にしたので、もしかしたらこれもそういうことなのかもなと思いつつ、しかし、ぶっちゃけそれ以上に重大なのはこっちのほうだと思うのです。



データベースに生パスワードを保存?

情報漏えいが、最初にツイッター上で話題になったのは6月25日ごろ。音楽配信サイト Spotifyなどで不正ログインなどの被害が次々と報告され、不安が広がった。当初は噂などと言われていたものの、AmazonやApple IDに不正ログインされたなど被害を訴える声は増える一方だった。

ディスクユニオン、会員の個人情報70万件漏えいを公表 – 弁護士ドットコム

ディスクユニオンはユーザーに対して「他社サイト・サービスへの不正ログインを防止するため、弊社オンラインショップへ登録されたEメールアドレス・パスワードと同様の組み合わせで登録されているWEBサービス等につきましては、第三者が容易に推測できないパスワードへの変更をお願いいたします」と訴えている。

ディスクユニオン「70万件超の個人情報が流出した可能性」と発表 | ハフポスト NEWS


んーと、一般的に現代のwebサービスにおいてデータベースに保管されているのは「ハッシュ化されたパスワード」であり、会員が推測しやすいパスワード(例えば「password」)を使用しそれをソルト無しでそのままよく知られたハッシュ方式(例えば「md5」)でハッシュ化してそのまま保存しているのでない限り、パスワードが直ちに第三者に知られるということにはなりません。

個人情報が流出しただけで様々なwebサービスに不正ログインされてしまうということは、ディスクユニオンでは会員が登録したパスワードをそのままデータベースに保存していたということに他なりませんし、セキュリティの常識からいってあり得ないです。ディスクユニオンのシステムが年代物なのかも知れませんけど、最近作られたシステムでそんなことやってるシステムがあったらエンジニアをクビにしても良いと思います。



というわけで、改修頑張ってください

ディスクユニオンは最低限、パスワードのハッシュ化が完了するまでECサイトを再開させてはいけません。その上で、情報漏洩の原因も特定し改修する必要があります。うへー大変だ。


頑張ってください。