kotobato 
今年もspamがウザい1年でしたが、11月末にアカウント情報が漏洩していたPeatixは、実は、2019年1月、つまり2年近く前から漏洩していたようです。
11月末にアカウント情報が漏洩していたPeatix
私が、イベントチケットサービスPeatixのアカウント情報漏洩の第一報を知ったのは、確かはてなブックマークで、今年の11月17朝。そこからPeatix Japan株式会社のサイトへ行って、経緯説明のPDFを目にしました。
経緯がWebサイトに掲載されたのが同18日。そして、ユーザーへメールが来たのは、同20日。
流出した情報は下記の通り。いやはや。
- 氏名
- アカウント登録メールアドレス
- 暗号化されたパスワード
- アカウント表示名
- 言語設定
- アカウントが作成された国
- タイムゾーン
1Passwordと連動するHave I been pwned?
不幸なことに、私はアカウント情報の漏洩を、何度も経験しています 🙁
元々、パスワードやアカウント、その他の情報をセキュアに管理するために、パスワード管理ユーティリティー1Passwordを使っています。このソフトウェアには、長年、お世話になっていることは、何度か書いてきました。これがないと生きていけないほど重要なサービスです。
この1Passwordの強力な機能の一つが、「WATCHTOWER」という監視機能です。複数ある項目の中に「侵害されたWebサイト」を警告してくれる機能がありますが、ついに、そこにPeatixが表示されました。
この機能は、自分が使っているサービスに登録したメールアドレスが漏洩していないか、spamリストに登録されて公開されてしまっていないかをチェックできる、専用のセキュリティーチェックサイト「Have I been pwned?」と連動しています。このサイトの運営者である、Troy Hunt氏はセキュリティーの専門家。
私は、自分のメールアドレスが2019年1月の「Collection #1 accounts」という漏洩リストに登録されてしまっていることを、1Password内のアラートと、この「Have I been pwnde?」に登録したメールアドレスへのメールで知りました。
その他にも、同10月の「Data Enrichment Exposure From PDL Customer」というリストにメールアドレスが拾われ、そしてmyspaceも漏洩。今年は、MashableとWattpadのアカウントが流出しました。これだけ広がっていれば、電子の腐海を永遠に彷徨い続けるのはむべなるかな 🙁
Peatixアカウント情報の漏洩は、実は2年近く前から!
この「Have I been pwnde?」のリストに、先月漏洩が明らかになったPeatixが加わったというわけです。見たところ、Peatixアカウントの漏洩は2019年1月なので2年近く前!おいおい :'( そこに日本で登録されたアカウントが追加されたのが11月!?
さらなる調査と報告が待たれますが、特定のサービスからの情報漏洩にせよ、企業へのサイバー攻撃にせよ、危機に際して、その組織が見せる姿勢なり態度は注目しておく必要があります。さて、Peatixは、どうするかな?果たして、このまま使い続けていいものやら…
「Have I been pwned?」は、無料で利用できます。一時的にチェックするだけならユーザー登録などは必要なく、ログも残らないので、一度、自分が使っている主なメールアドレスも調べてみるのを強くお勧めします。漏洩アラートが必要なら、ぜひ登録も。
私は、アラートが来てすぐに、該当するサービスのパスワードを変更。一部のサービスではメールアドレスも変え、対応しているサービスでは2要素認証を設定、不要なサービスではアカウントを閉鎖しました。しかし、漏洩前に戻せるわけではなく、メールボックスとネットワーク負荷のかなりの部分を占めるspamとの闘いは、残念ながら当面は続きそうです。
