ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚
「Web屋のネタ帳」さんのエントリ。mine-D的にはパスワードをハッシュ化してDBに格納するやり方が学べて大変ありがたかったのですが、以前からパスワードを平文で送ってくるサービスがけっこうあるのが気になっていて、試しにメールアーカイブの本文を、パスワードで検索かけてみたら、けっこうな数が出てきましたよ。これらはたまたまmine-Dが登録したというだけですが、他にもたくさんありそうで、怖いなぁ。
とりあえず、以下のサービスに関しては、使ってないものは退会し、使っているものに関しては、パスワードを変更するなどの措置を講じたいと思っております。困ったもんだな。
- Stickam Japan
- 動画SNS zoome
- coComment
- SellaBand
- WordPress.com
- Ustream.TV
- フォト蔵
- ニコニコ動画
- 30 Boxes
- PGS音楽市場
- BHA
- JugemKey
- FC2ID
- Writeboard
- A8.net
- TypeKey認証サービス
- JBBS
- MyRSS.jp
- 単語力
- livedoor
- VALUE DOMAIN
- LinkShare(三井物産)
ざっとこんなところでしょうか。パスワード設定の細かい手順なんかは各社それぞれ違うでしょうが(データベースにはハッシュ化して保存するけど、メールでは平文で送るというケースもあるでしょう)、とりあえず「ユーザである当方がパスワードとして登録した文字列を、そのままメールに書いてきた」ケースのみ、という事です。やっぱり、来たメールにパスワードが書いてあるとドキッとして心臓に悪いってのもあるし、もちろんセキュリティ的にも。作り手の皆さんにはできるだけ早急に対策していただきたいところです。