2016年05月21日 20時00分 セキュリティ

フェチ・愛好家のフォーラムから10万人分の個人情報流出、政府や軍関係者も

by Val Mont



「仕事中は検索を決してオススメしない」とニュースサイトのFortuneが表現するフェチ・愛好家のためのフォーラム「The Rosebutt Board」から10万件以上のユーザー名・IPアドレス・メールアドレスといった個人情報が流出したことが明らかになりました。



As Data Leaks Go, This Is About as Embarrassing as It Gets - Fortune

http://fortune.com/2016/05/12/fetish-forum-hack/





Traceable data 'stolen from fetish forum' - BBC News

http://www.bbc.com/news/technology-36275547





Hardcore fetish forum hacked, personal details leaked, including .gov email addresses

http://www.neowin.net/news/hardcore-fetish-forum-hacked-personal-details-leaked-including-gov-email-addresses



情報流出が発表されたのは2016年5月11日。自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」のTwitterアカウントが「The Rosebutt Boardの『アナル・フィスティング』というフォーラムにある10万7000アカウントの情報が流出しました。流出したアカウントのうち37％は既に『Have I been pwned?』で検索できます」とツイートしました。



New breach: The Rosebutt Board "anal fisting" forum had 107k accounts exposed. 37% were already in @haveibeenpwned https://t.co/LGaAnj1hUA — Have I been pwned? (@haveibeenpwned) 2016年5月10日



自分の個人情報がハッキングや情報流出のデータに含まれていないかを調べるには、以下の記事を読めばOKです。



自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE





Have I been pwned?を作ったMicrosoftのMVP社員トロイ・ハントさんが自身のTwitterアカウントに投稿した内容によると、ハッカーが不法にThe Rosebutt Boardから得た情報の中に「.gov」や「.mil」を含んだメールアドレスが含まれていたとのこと。The Rosebutt Boardから流出した情報は、ユーザー名、メールアドレス、IPアドレス、ほとんど暗号化されていないパスワードなどで、個人情報は10万7303アカウント分にも上ります。



And yes, there are also multiple .gov and .mil email addresses in the Rosebutt breach — Troy Hunt (@troyhunt) 2016年5月10日



ハントさんは、情報交換している人物から上記の情報流出について知らされ、自身で内容を確認したとのこと。The Rosebutt Boardは旧式のソフトウェアを利用していたため、平均的なSQLインジェクションで情報が流出したものと見られています。



ハントさんは「このフォーラムは人々が内密にしておきたいものだと言えますが、追跡可能なメールアドレスや、組織のメールアドレスさえ用いている人さえいます」と語り、フォーラム利用者に対して、新しいアカウントを作り直してアクセスを匿名にできるTorブラウザを利用することを推奨しています。