Xiaomiフォーラムのユーザーデータが漏洩

国内のセキュリティフィードバックプラットフォームであるWuyun.comが昨夜発表した情報によると、Xiaomiフォーラムでユーザーデータの漏洩が発生し、Xiaomiフォーラムの登録ユーザー800万人が影響を受けた。Xiaomi携帯電話フォーラムのユーザーデータベースがハッカーコミュニティで流通した疑いがある。Xiaomiユーザーはすぐにパスワードを変更する必要がある。

Wuyun.comによると、漏洩したデータにはユーザー名、パスワード、メールアドレス、登録IP、パスワードソルトが含まれている。Xiaomiアカウント（クラウドストレージ）の特殊性により、アカウントパスワードが破られると、アドレス帳、テキストメッセージ、写真、GPS位置情報など、ユーザーの個人データのセキュリティに影響を及ぼし、携帯電話のデータがリモートで消去（フォーマット）される可能性もある。

これに対し、Xiaomiは本日、2012年8月以前に登録された一部のフォーラムアカウント情報は確かに不正に取得されたものの、それ以降のユーザー情報は影響を受けていないと公式声明を発表した。 Xiaomiはこれについて公式に深く謝罪した。以下はXiaomiが発表したオリジナルの発表です。

Xiaomi コミュニティ ユーザーの皆様へ: Xiaomi コミュニティ アカウント情報セキュリティ防止に関するお知らせ

Xiaomiユーザーの皆様へ:

2014 年 5 月 13 日、Xiaomi フォーラムの初期のアカウント情報が漏洩した可能性があるというニュースを受け、直ちに包括的なセキュリティ チェックを実施しました。

調査の結果、2012年8月以前に登録されたフォーラムアカウント情報の一部が不正に取得されたことが判明しました。

この度の事態により、ユーザーの皆様に多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

アカウント情報のこの部分は厳重に暗号化されており（独立ソルト一方向ハッシュ値）、近年多くのユーザーがパスワードを変更しており、実際に危険にさらされている可能性があるのはそのうちのごく一部です。この発表時点では、目に見えるトラフィックの変化や苦情の報告は見つかりませんでした。

2012 年 8 月以降に Xiaomi アカウントを登録したユーザーは、今回の事件による影響が全くないことが確認されています。以前に Xiaomi フォーラム アカウントを登録し、2012 年 8 月以降にパスワードを変更していないユーザーには、セキュリティ上の理由から、SMS、電子メールなどを通じて、できるだけ早くパスワードを変更するよう通知します。危険にさらされている可能性のある少数のアカウントについては、https://account.xiaomi.com で直ちにパスワードを変更するよう要求します。

弊社の事業の初期には、弊社のフォーラムとフォーラムによって生成されたアカウント システムでは、サードパーティのオープン ソース プログラムが使用されていました。 2012 年 8 月、セキュリティ上の理由から、古いフォーラム アカウント システムは使用されなくなりました。Xiaomi はすべてのサービス (Xiaomi Cloud Service、Mi Coin などを含む) を新しいアカウント セキュリティ システムに切り替え、業界の最新のセキュリティ プラクティスを採用し、保存されているすべてのデータに対して最も厳格なセキュリティ暗号化を実装しました。

ユーザー アカウントとプライバシーのセキュリティは、Xiaomi にとって最優先事項です。当社は常にこの点に細心の注意を払っており、リモート ログインの警告やセキュリティ トークン ログインなどのセキュリティ対策の改善に全力を尽くしています。ユーザーが重要なサービス（Mi Coin Center、Xiaomi Cloud Serviceなど）を使用するためにログインすると、携帯電話にセキュリティリマインダーのプッシュ通知も届きます。

当社は、このセキュリティインシデントの進展とユーザーからのフィードバックを注意深く監視し、引き続きフォローアップして適時に報告していきます。

Xiaomi セキュリティセンター

2014年5月14日

原題: Xiaomi フォーラムのユーザーデータが漏洩

キーワード: