毎日の話題：Xiaomiフォーラムアカウントが漏洩！中国のインターネットプライバシー侵害に関する考察

A5 Webmaster Network (www.admin5.com) は5月14日、5月13日夜にXiaomi Forumのユーザーデータベースが漏洩した疑いがあると報じた。漏洩したデータベースにはXiaomi Forumの登録ユーザー800万人が含まれていた。現在、国内のセキュリティフィードバックプラットフォームであるWuyunの最新ニュースによると、Xiaomi Forumの公式データが実際に漏洩したとのことだ。現在、当該情報データベースはネットワークディスク上で流通しており、度々禁止されているにもかかわらず、既にダウンロードした人もいるとみられる。

さらに、Xiaomi アカウントはクラウド型であるため、アカウントのパスワードが破られると、アドレス帳、テキストメッセージ、写真、GPS 位置情報などのユーザーの個人データのバックアップに影響が及ぶ可能性があり、携帯電話のデータのリモート消去 (フォーマット) も発生する可能性があります。安全上の理由から、Xiaomi フォーラムのユーザーはまずパスワードを変更する必要があります。

このインターネット時代において、Xiaomi のデータ漏洩は孤立した事件ではありません。今日はインターネットの歴史におけるデータ漏洩を振り返ります。

1. OpenSSL の重大な脆弱性が世界中のインターネットを席巻

2014 年 4 月 8 日、セキュリティプロトコル OpenSSL で今年最も深刻なセキュリティ脆弱性が明らかになりました。この脆弱性は「Heartbleed」と名付けられました。この脆弱性を悪用することで、ハッカーは自宅の自分のコンピュータの前に座ったまま、多数のオンラインバンキング、ショッピングサイト、電子メールなど、https で始まるウェブサイトの約 30% のログインアカウントパスワードをリアルタイムで取得できます。

「ハートブリード」は、インターネット史上最も深刻なセキュリティ上の脆弱性の一つとして知られています。多くの人が毎日使っているGmailをはじめ、広く使われている多数のウェブサイトやサービスに影響を及ぼし、ユーザーのパスワードやクレジットカード情報が簡単に漏洩してしまう可能性があります。

2. Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。

2014年3月22日夜、脆弱性報告プラットフォームWuyun.comは公式サイトでネットワークセキュリティの脆弱性情報を公開し、Ctripのセキュア決済ログがトラバースされダウンロードされ、大量のユーザーの銀行カード情報（カード所有者の名前、IDカード、銀行カード番号、カードCVVコード、6桁のカードBinを含む）が漏洩したと指摘し、詳細をメーカーに通知し、メーカーの処理を待っていると述べた。さらに、Ctrip のブランチの 1 つでソースコードパッケージを直接ダウンロードできることも明らかになりました。

3. WeChatの脆弱性により、ユーザーのプライベート動画が検索されキャプチャされる可能性がある

2014年2月27日、中国の有名な脆弱性報告プラットフォームであるWuyunは、WeChatに脆弱性が発生し、WeChatでユーザーが撮影して投稿したビデオのアドレスが漏洩したという緊急警告を発しました。これらのビデオには、ユーザーの非常にプライベートなビデオも多数含まれており、外部のユーザーがアクセスできました。脆弱性の説明によると、Googleでsite:wx.qq.comvideoを検索し、ページ上の「再検索して省略された結果を表示」をクリックすると、大量のビデオ検索結果が表示されます。ビデオアドレスweixin.qq.comのドメイン名から、これらのビデオが明らかにWeChatのユーザーによって録画され、検索されキャプチャされたものであることがわかります。

4. 7000万のQQグループがデータ漏洩に遭う

2013年11月20日、国内の有名なセキュリティ脆弱性監視プラットフォームであるWuyunは、Tencent QQグループの関係データが漏洩し、そのデータのダウンロードリンクがThunder Quick Transferで簡単に見つけられるというレポートを発表しました。 QQ 番号に基づいて、名前、年齢、ソーシャルネットワーク、職歴など、個人のプライバシーに関する多くの情報を照会できます。 19日、360インターネット攻撃防御研究所の研究員アン・ヤン氏は、Xunleiを通じて公開されたQQグループデータベースをダウンロードし、簡単なテストでデータの真正性を検証した。「解凍後、サイズは90Gを超え、約7000万のQQグループと12億を超える部分的に重複したQQ番号が含まれていた。」

5. ホームイン、ハンティンなどのホテルからホテル顧客情報が漏洩

2013年10月16日、国内のセキュリティ脆弱性監視プラットフォームWooYun（WooYun.org）は、Home InnsやHantingなど多数のホテルの宿泊予約記録が第三者によって保管され、脆弱性により漏洩したとする報告書を発表した。この抜け穴の根本的な原因は、慧大駅社の不完全な管理メカニズムにあります。同社のシステムでは、ホテルがオープンレコードを提出する際にウェブ認証を実行する必要がありますが、ホテルのサーバーではなく、当然顧客情報が保存されている慧大駅社独自のサーバーを介して認証を実行する必要があります。

6. Alipayには、ユーザーがパスワードなしでTaobaoにログインできる技術的な抜け穴があることが判明しました。

2013年3月28日、アリペイは27日夜に重大な抜け穴を暴露した。Googleと360検索を使用すると、支払い口座、受け取り口座、名前、日付などを含む大量のアリペイ取引記録を検索できる。

2014年2月17日、Wuyunプラットフォームは、TaobaoとAlipayの認証にセキュリティ上の欠陥があり、ハッカーが簡単にその抜け穴を利用して他人のTaobaoとAlipayのアカウントにログインし、操作を実行できるというニュースを報じました。

7. 天亜コミュニティのユーザーパスワードがハッカーによって漏洩、4000万人のユーザーが関与

2011年12月25日午後、国内の有名コミュニティサイト「天亜網絡」のユーザープライバシーもハッカーにより漏洩された。今回漏洩したユーザー数は4000万人に上るとみられる。以前漏洩したCSDNの情報と同様に、漏洩したTianyaのユーザーパスワードはすべてプレーンテキストで保存されていましたが、その膨大な数は実に驚異的です。

8. CSDN 600万件のユーザーアカウントとパスワードが漏洩

2011年12月21日、ネットユーザーが国内のプログラマーコミュニティCSDNのセキュリティシステムがハッカーの攻撃を受け、CSDNデータベース内のユーザー600万人のログイン名とパスワードが漏洩したと報じた。 CSDNはWeiboでこの事件を確認し、警察に通報したと述べた。

誰が被害に遭うのか？Heartbleed脆弱性の影響を受けるウェブサイトのリスト

Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。

WeChatの脆弱性により、ユーザーのプライベート動画が検索・キャプチャされる WeChatが動画共有を停止

7000万のQQグループがデータ漏洩の危険にさらされるが、テンセントは修正済みと発表

セキュリティ脆弱性監視プラットフォームのWuyunは、Home InnやHantingなどのホテルの顧客情報が漏洩したと主張

アリペイが重大な抜け穴を明らかに：取引記録が検索可能

天亜コミュニティのユーザーパスワードがハッカーによって漏洩、4000万人のユーザーが関与

CSDNは600万件のユーザーアカウントとパスワードが漏洩したことを確認し、報告書を提出した。

原題: 日刊トピック: Xiaomi フォーラムアカウントが漏洩!中国のインターネットプライバシー侵害に関する考察

キーワード: