レストラン検索サービス Zomato で、数百万人のユーザに影響する重大なセキュリティインシデントが発生した。同サービスは事件の発生後24時間以内に、実行犯であるハッカーと連絡を取った上で、交渉が合意に至ったと発表した。流出したデータを(違法データの温床となっている)ダークウェブ上から削除する見返りとして、いくつかの条件を受け入れる。
これまでの経緯を要約すると、毎月1億2,000万人が利用するとされる Zomato は、約1,700万件の e メールアドレスと、ハッシュ化されたパスワード(パスワード自体ではなくそれを特定の手順で変換したもの)が流出したと昨日(5月18日)公表した。そのうち60%は Facebook や Google などサードパーティの OAuth サービス(代理認証サービス)を使っていたため、この流出の影響を受けることはない。しかし残る約700万人のユーザが危険にさらされており、特に他のサービスでも同じメールとパスワードの組み合わせを使用している場合には深刻である。
Zomato は、パスワードは容易に解読されないとしてユーザを安心させようとしていたが、そうとも思えない事例が出てきた。セキュリティ専門家の中には比較的早くパスワードの解読に成功したとする者たちが現れ、また、Zomato の暗号化技術はその他の者からも笑いの的となっていた。
MD5 with a 2 char hex salt – WTF?! “Restaurant App Zomato Says Your Stolen Password Is Fine. But Is It?” https://t.co/2NBTnAdosF
— Troy Hunt (@troyhunt) 2017年5月18日
今回のハッキングで犯行声明を発表しているグループは Motherboard の取材に応じ、Zomato のインフラ上で発見した脆弱性を1年前に同社に報告したものの、何の反応もなかったと語った。そのため強硬姿勢に転じ、ダークウェブ上でデータを売りに出すことにしたという。結果として Zomato はハッカーグループとの「会話のチャネルを開く」ことになったが、犯行グループの対応は「非常に協力的だった」としている。
Zomato の技術責任者である Gunja Patidar 氏はこのように説明している。
彼らの目的はセキュリティ上の脆弱性を私たちに伝えることでした。問題を解決するため、彼らは正しい倫理観を持ったハッカーコミュニティと協力しています。彼らの主な要求は、セキュリティ研究者を対象とした健全なバグ報奨金プログラムを設けることでした。
Zomato は要求を受け入れ、将来的にそうしたプログラムをスタートすることを約束した。同社は(バグ報奨金プログラムのプラットフォームである)HackerOne に1年以上前から参加している。しかし、脆弱性を報告した倫理的なハッカーに対し、これまで金銭的インセンティブを提供することはなかった。今後は前進に向けた動きがあると見られる。
Patidar 氏は次のように述べる。
近日、HackerOne でバグ報奨金プログラムをスタートします。交換条件として、盗まれたデータのコピーを全て破棄し、ダークウェブ上のマーケットからも取り下げるということでハッカーと合意に至りました。ダークウェブ上のデータ販売に使われていたリンクはすでに無効化されています。
リンクは削除されたが、データが破棄されるという保証は当然どこにもない。しかし、ハッカーとされる人物が提案した取引条件は、これが善意のハッカーによる仕業であると信じるに足るものだ。Zomato がオンラインセキュリティを向上する動機になれば、効果としても望ましい。
この事件をきっかけとして私たちは、セキュリティに関するあらゆる問題に責任をもってタイムリーに対処し、さらに強化していくことを約束します。ユーザの皆様に Zomato をより安全に利用していただくために、善意のハッカーコミュニティとさらに緊密に協力していく予定です。
【via VentureBeat】 @VentureBeat
BRIDGE Members
BRIDGEでは会員制度の「Members」を運営しています。登録いただくと会員限定の記事が毎月3本まで読めるほか、Discordの招待リンクをお送りしています。登録は無料で、有料会員の方は会員限定記事が全て読めるようになります(初回登録時1週間無料)。- 会員限定記事・毎月3本
- コミュニティDiscord招待