500pxやDubsmashなど16のサービスから盗み出されたのべ6億1700万人分のアカウント情報が違法売買サイトで売りに出されたとThe Registerが報じています。

620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts • The Register

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

The Registerによると16サイトのユーザーのアカウントデータがTorネットワークにあるDream Marketというダークウェブ上で2018年2月11日から売りに出されているとのこと。これらのデータは仮想通貨ビットコインを使って売買されており、全データをあわせても価格は2万ドル(約220万円)で購入できる状態です。

The Registerによると数ギガバイトの容量のデータベースから抽出したサンプルアカウント情報は、所有者名・メールアドレス・パスワードで構成されており、実在の物だと推測されるとのこと。パスワードは暗号化された状態なので解読作業が必要ですが、個人情報やソーシャルメディアの認証トークンなどの情報を含むデータもあるようです。そして、ユーザーの中にはパスワードを複数のサービスで使いまわしていることもあるため、他の漏洩したデータと照らし合わせて暗号を解読することも可能だとみられています。



販売されているサービスと流出データ件数、価格などは以下の通りです。

◆Dubsmash

・1億6154万9210件で0.549BTC(約21万8000円)

・2018年12月に取得された11GBのデータ

・Dubsmashの代理人である法律事務所Lewis Brisboisは「調査を開始した」と回答

◆500px

・1億4870万304件で0.217BTC(約86万3000円)

・500px関係者は「すでにハッキングされたユーザーに通知を送り、全員のパスワードをリセット済み」と回答

◆EyeEm

・2236万765件で0.289BTC(約11万5000円)

・2018年2月に取得された1.7GBのデータ

・広報担当者は回答を拒否

◆8fit

・2018万667件で0.2025BTC(約8万円)

・Facebook認証トークン、Facebookプロフィール写真を含む

・「調査中だがコメントは控える」との回答

◆Fotolog

・1600万件で0.52BTC(約20万7000円)

・2018年12月に取得された5.9GBのデータ

・広報担当者は回答を拒否

◆Animoto

・2540万2283件で0.318BTC(約12万6000円)

・2018年に取得された2.1GBのデータ

・「2018年8月にシステム異常を確認。顧客には影響が出る旨、通知済み」と回答

◆MyHeritage

・9228万4478件で0.549BTC(約21万9000円)

・現時点で流出したメールアドレスやパスワードが悪用された証拠は確認できず

◆MyFitnessPal

・1億5063万3038アカウントで0.289BTC(約11万5000円)

・広報担当者は回答を拒否

◆Artsy

・107万件で0.0289BTC(約1万1500円)

・2018年4月に取得された184MBのデータ

・広報担当者は回答を拒否

◆Armor Games

・1101万3617件で0.2749BTC(約10万9000円)

・広報担当者は回答を拒否

◆Bookmate

・802万6992件で0.159BTC(約6万3000円)

・広報担当者は回答を拒否

◆Coffee Meets Bagel

・617万4513件で0.13BTC(約5万2000円)

・「現時点で悪用は確認されていないが調査中」と回答

◆DataCamp

・70万件で0.013BTC(約5200円)

・2018年12月に取得された82MBのデータ

・「不正アクセスの可能性を突き留めるべくアクセスログを調査中」と回答

◆HauteLook

・2800万件で0.217BTC(約8万6000円)

・2018年に取得された1.5GBのデータ

・広報担当者は回答を拒否

◆ShareThis

・4102万8098件で0.217BTC(約8万6000円)

・広報担当者は回答を拒否

◆Whitepages

・1777万5679件で0.434BTC(約17万3000円)

・広報担当者は回答を拒否