Peatix(https://peatix.com)から677万件の情報流出を公表するメールが届きました(怒)
で、そのメールが届いたのは2020/11/20 11:04付でした。
ソッコーで退会しました。
実は、わけのわからないサイトにはユーザ登録したくなかったんですが、とある応募の必須条件だったため、いやいや登録したという経緯で...
あー、やっぱり登録するんじゃなかった...
あー、もっと早く退会しときゃよかった...
最近、ちょっとセキュリティに関して気が緩んでいたと、素直に反省です♪
不幸中の幸いで、PWは全然他とは違うPWにしていたのが救い(^^)
■既に兆候はあった...
実は、告知が届く前、加入しているとあるSNSから「アカウントへの不正なアクセスを検知しました」との通知メールが届いていたんです^^;
「アカウントを乗っ取られたか!?」
「でも、なぜ?!」
と思いつつ、普通にログインできることを確認したうえで、設定を変更し、セキュリティを強化する羽目に(+_+)
また、SNS以外でも、不審なショートメールも届いていました。
宅配便の不在通知を装ったもので、おかしなサイト名のリンクが記載されていました。
宅配関連にはユーザ登録しておらず、そんな通知が届くはずがないんで(+_+)
■Peatixの案内メールの概要
(1)流出したのは最大677万件。
(2)流出した項目は、氏名/アカウント登録メールアドレス/暗号化されたパスワード/アカウント表示名/言語設定/アカウントが作成された国/タイムゾーン。
(3)住所、電話番号などの情報が引き出された事実は確認されていない。
(4)流出を認識したのは11/9、不正アクセスされたのは10/16-10/17。
とメールには記載されています。
気になったのは(3)。
「引き出された事実が確認されていない」だけで、実際には流出している可能性がある(高い)のではないでしょうか?
データ設計するにあたり、メアドと電話番号を分けて管理/記録するでしょうか、普通(・・?
先に書いたとおり、不審なショートメールが届いたことから、電話番号も流出していると考えて間違いないです。
あと(4)についても、「発覚」ではなく「認識」という表現も気になりますね。
登録者から何らかの問い合わせが入って初めて気が付いた、というニュアンスです。
もし、監査や監視でわかったのなら、「発覚」 と書くはずですから。
となると、10/16に不正アクセスされてから、1ヶ月近く、気付けなかったという、とんでもないアマアマのセキュリティレベルだったということ裏返しでもあります。
なお、告知のメールには、
「アカウント退会後に、Peatixサイトで再びチケットのお申し込みを頂く場合は、新規にアカウントを取得していただく必要があります。」
って...二度と申し込むか!
また、
「<アカウント登録メールアドレスの変更をご希望のお客様へ>」
って...変更後のメアドが流出したらどうしてくれるんだっての!
だいたい、「不審なメールのリンクはクリックするな!」って注意しておきながら、パスワードの変更方法は「届いたメールのリンクをクリックして」 って...バカじゃないの!
ま、こんなふざけた文面が延々と書き綴られてて、不信感しかありませんわ(怒)
■教訓
ネットへのユーザ登録は慎重なうえに慎重を期すべき、ということを改めて思い知らされました(^^)
こういうサイトへの登録を必須とするようなイベントや募集をする会社も信用できないので、要注意ですね。
今回登録したのは、一部上場企業が企画したイベントへ参加するためでしたが、もうこの手の募集には応募しません!
以上です☆
■
