オージス総研の個人情報流出 のここが怖い
「宅ふぁいる便」不正アクセスによる情報漏えいの第3報を発表、パスワードは暗号化しておらず(オージス総研) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
流出した情報は以下の通り
氏名
しめいふりがな
ログイン用メールアドレス
ログインパスワード
生年月日
性別
職業・業種・職種
メールアドレス2
メールアドレス3
居住地の郵便番号
勤務先の都道府県名、勤務先の郵便番号
配偶者の有無
子供の有無
第1報
第2報
第3報
最初の流出速報から、5日経ちましたが、現時点でいつから不正アクセスが行われたと言う事と、主要コンポーネントである、配達ファイルへのアクセスがあったのか 分かってないのがちょっと怖いですね (((・ω・)))
暗号化してないパスワードが流出したというニュースが出てきたのですが、「は、なんで?」ってなりました。と言うのは、次のページをご覧ください
パスワードを忘れた方へ(パスワードを再発行します)- 無料大容量ファイル転送サービス「宅ふぁいる便」
元々、パスワードを忘れた人に、パスワードを再生成して 送るという方式は、セキュリティの為に、サーバーに元のパスワードを保存せずに、ハッシュ化した復号不可能な情報 しか保持しないという方式が多く使われているからです。
単に暗号化していても復号てきてしまうなら、こんな回りくどい方法を使う必要はないのですが、オージス総研の様に、セキュリティ的に安全なパスワードの管理をしているのを偽装するために、こんな方式を採用している企業があったということが判明したのがめちゃくちゃ怖いです ((((・ω・))))
復号できるような暗号化どころか生のデータでパスワードが保存されていたなんてよほどセキュリティ意識の低い企業なのでしょう
セキュリティ監査・診断コンサルティング | 株式会社オージス総研
ネットワークインフラ、サーバー、Webアプリケーションの脆弱性を検出。改善方法を含めてご支援します。 不正アクセスの発生によって引き起こされるWebページの改ざんや顧客情報の流出は、重大な損害を引き起こす恐れがあります。 不正アクセスの原因となるセキュリティの脆弱点がネットワークインフラ、各種サーバー、Webアプリケーション上に存在するかを明らかにし、脆弱点に対して実施すべき正しい対策をご提言いたします。 セキュリティスペシャリストが検査にあたります。 |
ところが、オージス総研、セキュリティ監査ビジネスも手掛けてることが判明。
30数年大阪ガスの情報システムを支えてた。 長きにわたって運よくトラブルを回避してきた適当なセキュリティの知識や経験をソリューションとして提供する訳ですね (((・ω・))) 何これヤバいw
Comments