(悲報)123RFで情報漏洩が発生。個人情報830万人分が流出の模様

123RFで個人情報が流出
B!

 

皆様こんにちはDiGです。
 

先日、急に123RFからパスワードの再設定を促すメールが。

123RFからのメール
 

しかも派手に文字化けして解読不能(笑)
(かろうじてメールのタイトルで内容を把握)
 

パスワードの再設定も記号やら大文字やら必須となっていて、「リニューアルの一環かな?それにしては指定が細かいなあ」とか思っていたところ、本日またメールが。
 

情報流出
 

なんと123RFが不正アクセスにより情報流出したとのことです。。
 

メールを読むと、流出は「一部ユーザーのみ」で、流出したのは「ユーザー名、メールアドレス、パスワード(暗号化された状態)など」だけでクレカとかPaypalアカウントは漏れてないから安心して!みたいな内容ですが、

Image stock site 123RF hacked; 8.3M user database leaked

こちらの記事を読むと事態はもっと深刻な模様。
 

まず流出したのが今年の3月で、11月8日にハッカーのフォーラムにリークされるまで、123RFはその事実を把握していなかった模様。
(もしくは把握していたけどスルーしていた可能性)



流出件数は8.3Mなので830万人(!)ということです。
寄稿者・購入ユーザー含めて123RFにどれくらいの登録人数がいるのか不明ですが、830万人て一部のユーザーじゃないだろと思います。
 

そしてメール内で「など」で濁されていた流出内容については、
 

  • フルネーム
  • ユーザー名
  • IPアドレス
  • 電話番号
  • メールアドレス
  • パスワードハッシュ
  • Facebookのプロフィールリンク
  • 郵便番号を含む住所
  • 123RFでのアカウント登録日
  • 国、州、都市を含む場所

 

と、(パスワードは暗号化されているとはいえ)ほぼユーザー登録情報全漏れのようです。
 

セキュリティを強化したのでもう大丈夫!そういう問題?

私もエンジニアの端くれなので、完璧なセキュリティなどないこともわかっていますが、123RFのメールの内容には違和感を感じざるを得ません。
情報流出したユーザーが一部というのであれば、自分の情報が流出したのかどうか誰もが知りたいはずです。
 

そういった情報を個別連絡することもなく、「セキュリティ強化したのでもう大丈夫です。」みたいな内容のメールは、個人情報をものすごく軽く扱っているように感じられてしまいます。
日本の会社ではないので、そこら辺の感覚は違うのかもしれませんね。
 

123RFは、以前からバグを放置気味だったりとか、正直エンジニアのレベルには疑問符を感じていましたが、やはりこうなったかという感じです。

 

ストックフォトの利益を最大化するために、複数のストックフォトに登録することをこのブログでもお勧めしてきましたが、今回その裏腹のリスクを私自身も痛感しました。
(もし私のブログで123RFに登録したという方がいたら、その方にも申し訳なく思います)
 

とりあえず、123RFのパスワード変更がまだの方は、急いで変更してください
 

また続報があれば改めてお伝えします。
 

↓続報と自分の個人情報が漏れているかの確認方法についてまとめました。


 

ではでは。
 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です