by Blogtrepreneur 世界最大規模の医学・科学技術関係の出版社「 エルゼビア 」が、サーバー上に利用者のメールアドレスとパスワードを公開状態のまま置いていたことが明らかになりました。原因は「人為的な設定ミス」だとのことです。 Education and Science Giant Elsevier Left Users’ Passwords Exposed Online - Motherboard https://motherboard.vice.com/en_us/article/vbw8b9/elsevier-user-passwords-exposed-online エルゼビアは科学系・医療系の学術雑誌を扱う出版社で、ネットでの購読サービスも提供しています。サイバーセキュリティ会社「SpiderSilk」によると、エルゼビアは利用者のメールアドレスやパスワードが含まれた自社サーバーを誰でもアクセス可能な状態にしていたとのこと。SpiderSilkのセキュリティ部門最高責任者であるモサド・ハッサン氏は「利用者の多くは、教育機関が配布する『.edu』ドメインを使う学生や大学の教職員でした。こういった人たちは、他のメールサービスやiCloudでも同じパスワードを使っている可能性があります」と、本件の危険性を指摘しました。 データは可視化プラットフォーム・Kibanaを使って表示することが可能で、実際にニュースサイトのMotherboardがエルゼビアに登録したパスワードを変更すると、新しいパスワードが暗号化されていない平文の状態でサーバー上に公開されたことを確認できたそうです。

・関連記事

科学論文を出版するエルゼビアとの購読契約を完全に打ち切ったとカリフォルニア大学が発表 - GIGAZINE



出版社「エルゼビア」が抱える学術誌の編集者が一斉に辞職、新しくオープンアクセスジャーナルを立ち上げることに - GIGAZINE



5年で57億円かかるエルゼビアの論文閲覧システムの契約交渉で大学側が値下げを要求 - GIGAZINE



高額すぎる購読料を嫌ってエルゼビアなどとの論文購読契約を打ち切る大学が続出 - GIGAZINE



論文海賊版サイト「Sci-Hub」のブロッキングを命じられたISPが訴えた出版社もブロッキングして抗議 - GIGAZINE



2019年03月19日 12時05分00秒 in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.