by BTC Keychain

民事再生手続きを申請した仮想通貨「Bitcoin」の取引所「Mt.Gox」から、社員情報や顧客情報を含む重要なデータがハッカーの手に渡っていることが明らかになりました。この事実を明らかにした「nanashi____」を名乗る人物は、Mt.Goxのマルク・カルプレスCEOと銀行員との会話音声やMt.Goxのコードも公開しています。

Apparently Mt Gox Has Been Hacked Again…By People Trying To Find Out What Happened - Dzoba.com
http://dzoba.com/apparently-mt-gox-has-been-hacked-againby-people-trying-to-find-out-what-happened/


MtGox code posted by hackers as company files for bankruptcy protection | Ars Technica
http://arstechnica.com/business/2014/03/mtgox-code-posted-by-hackers-as-company-files-for-bankruptcy-protection/


Mt.Goxは世界最大のビットコイン取引所でしたが、システムの不具合を突かれ、顧客から預かった75万BTCと会社保有の10万BTCを喪失。約65億円の負債を抱え、2月28日に民事再生手続きを申請しています。

nanashi____」と名乗る人物によると、いったいMt.Goxに何が起きたのかを知るためハッカー集団がいろいろな情報を調べており、その過程で得られたものの1つがMt.Goxのコードだとのこと。コードはPastebinで公開されていて、誰でも見られるようになっています。

[PHP] <?php namespace Money; class Bitcoin { #const BITCOIN_NODE = '173.224.12 - Pastebin.com
http://pastebin.com/W8B3CGiN

nanashi____氏はこのほかに、マルク・カルプレスCEOとみずほ銀行の担当者が話をしている音声データも公開しています。

Playing: r.mp3 - picosong
http://picosong.com/Y7di/

nanashi____氏はIRCの「##mtgox-chat」チャンネルに現れて情報を投下していますが、自身は「ハッカーではない」とのこと。nanashi____氏がIRCで発言した内容についてもPastebinで確認可能です。

nanashi____ with faker cut out - Pastebin.com
http://pastebin.com/cbA09WwA

音声データ、およびMt.Goxのコードが出てきていて、単なるハッカーではなくMt.Goxとかなり近しい人物の関与も考えられますが、nanashi____氏によれば、ハッカー集団はこのほかにMt.Gox社員の電話番号や住所、20GB分にも上る顧客のデータ、スキャンしたパスポートなども手にしている模様。ただし、Mt.Goxのコードを公開したのは公益になると考えたからだそうで、ハッカー集団は顧客情報については公開する予定はないとのこと。

Mt.GoxのコードについてはHacker Newsでこのコードは非常に悪いもので、合格点レベルまで引き上げるのは相当な労力が掛かるとツッコミが入れられるなど、ちょっとわかる人間が見れば愕然とするような内容。

管理についてもひどいもので、Wired.comが関係者から得た情報によると、一般的なソフトウェア開発環境で使われているようなバージョン管理ツールは使用しておらず、エンジニアがファイルに手を入れたときに同僚のコードを誤って上書きしかねないような環境だったそうです。また、ソースコード変更の承認権限はカルプレスCEOのみが持っていて、セキュリティ関連のバグ修正であっても、カルプレス氏が対応するまで数週間放置されてしまうということもあったとのこと。

The Inside Story of Mt. Gox, Bitcoin's $460 Million Disaster | Wired Enterprise | Wired.com
http://www.wired.com/wiredenterprise/2014/03/bitcoin-exchange/

Mt.Goxでは2011年6月にハッキングを受けて顧客情報が流出していますが、セキュリティに対する姿勢は最後まで変わらなかったようです。