Brazzersフォーラムのユーザー約80万人の情報が流出しました。

2009年には、AVNベスト・オブ・○○○賞を受賞しています。その3年後、790,724人のユーザーの個人情報が流出したのです。2015年に起きたアシュレイ・マディソンのデータダンプに似た、プライバシーの悪夢だったのです。

ユーザーのポルノグラフィーの習慣が漏れることは、十分に悪いことではありませんでしたが、これはより広い意味を持つ可能性があります。

どうしたんですか？

このようなことが起こるはずです。中には、○○○を訪れた人全員に影響があるのではと思った人もいたようですが、そうではありません。とはいえ、ディスカッションフォーラムを持つほとんどのサイトに影響を与える可能性のある、広範な脆弱性を示唆するものです。

でも、まずはBrazzersに注目！世界で12万5千の人気サイトで何が起きているのか？Alexaの検索をインドに限定すると、上位25,000位以内に入っているんです。これは大したことではないと思われるかもしれませんが、インターネット上に約10億のウェブサイトがあることを考えると、非常に素晴らしいことだと思います。

違反が起きたのは2012年で、確かにずいぶん前のことです。LinkedInやDropboxなど、この年から不思議と耳にするようになった情報漏えいの一つで、後者は約6,800万人のユーザーに影響を与えている。

Brazzers自体は侵害されていません。むしろ、より心配なのはそのフォーラムの方です。また、ブラジルの平均的な口座保有者は、まだ懸念する理由があるかもしれません。同サイトのPR担当者であるマット・スティーブンス氏は、こう説明する。

この事件は、Brazzers社そのものではなく、当該第三者ソフトウェアである「vBulletin」ソフトウェアの脆弱性によって発生したものです。とはいえ、ユーザーのアカウントはBrazzersと、ユーザーの利便性を考えて作られた「Brazzersforum」の間で共有されていた。そのため、Brazzersとユーザーの便宜のために作られた「Brazzersforum」の間でユーザーのアカウントが共有され、その結果、ユーザーのアカウントの**部分が流出しました。 この事件後、ユーザーを保護するための是正措置を数日間にわたり実施しました。

それはいいのですが、いつ起こったのか誰も知らないのです。これは、今回の攻撃に対するMoonfruitの対応としては、賞賛に値するものとは到底言えません。

ユーザー名、メールアドレス、パスワードは流出したが、フォーラムでは人々が自分の深い欲望を語り合う。以前は、こうした妄想は謎のユーザー名の背後に隠され、ユーザーの特殊な性癖とメールアドレスがリンクしていた。

データセットには928,072通のメールが含まれていますが、その多くは重複しています。それでも、790,724人のユニークユーザーが影響を受けています。

これ以上悪くなることはないでしょう？

まだ聞いたばかりであることを考えると、その影響は軽微であると思われるかもしれません。何しろ、被災者がひどい目に遭っていたら、もう聞いているはずだから。しかし、特に○○○○が増えると、非常に気になるところです。

しかし、その理由は大きく2つあります。

まず、これらのパスワードは平文である。責任あるウェブサイトがどのようにパスワードを安全に保存しているのか、疑問に思うかもしれません。答えは、プレーンテキストではありません。プレーンテキストに安全性はない。つまり、もし誰かがあなたのパスワードが入ったデータセットにアクセスしたら、あなたが入力したとおりに読み取れるということです。あなたのパスワードがこれまでで最も複雑で、一見して安全なパスワードであっても、ハッカーはそれを読み取るだけでいいのです。

プレーンテキストとは、暗号化も塩基配列もハッシュ化もしないことです。このような形で大切なものを保存しているウェブサイトは、絶対におかしい。特に***のユーザーは非常に高いレベルの暗号化を望んでいますが、この脆弱性は、最も人気のあるウェブサイトでさえ、個人情報に対して安全でない方法を用いていることを思い起こさせます。

さらにvBulletinをハックしたところ、このフォーラムソフトはユーザーが好きなようにパスワードを暗号化できることがわかったので、Brazzers自体が平文を使っていることが犯人だと推測されるのです。

しかし、問題の核心は、まさに4万近いライブサイトで使用されているvBulletinの脆弱性である。脆弱性に対するパッチは**既に完成しているが、当然ながらサイトの管理者によるアップグレードに依存している。これは問題です。

gtaファンも被害を受けている

先月、『Grand Theft Auto』シリーズの高名なウェブサイトGTAGamingの約20万件のアカウントの詳細が流出し、メールアドレス、生年月日、IPアドレス、パスワードが含まれ、後者は（M5アルゴリズムのみを使用しているとはいえ）少なくとも2回ハッシュ化されて暗号化されていたことが分かりました。このため、このサイトはvBulletinを完全に放棄することになりました。

今後、数週間以内に更新されないアカウントはデータベースから削除されます。私たちは、アカウントデータベースをより安全な認証システムに移行し、vBulletinフォーラムソフトウェアの痕跡をすべて削除し、それまでは、これ以上の侵害を防ぐために目を光らせていることでしょう。

vBulletinを使用している有名なWebサイトの数、特にLinuxオペレーティングシステムの公式フォーラムであるWebサイトubuntuforums.orgを考えると、vBulletinの主な問題の1つは、次のようなものです。vBulletin自体が昨年攻撃され、全ユーザーがパスワードの変更を余儀なくされ、開発元のリンクサイトであるVBTeamも同様であった。

何ができるのか？

まず、自分のメールアドレスが流出経路に含まれていないか確認する必要があります。Fondueならやる価値がある。そんな方は、「Have I Been Fired?NSFWサイト、MySpaceなどのソーシャルメディアサイト、Gmailなどの電子メールプロバイダーなど、あらゆる違反行為の有無を教えてくれるものです。

被害に遭われた方は、ブレイザーフォーラムかメールアドレスのパスワードを変更する必要があるのは間違いないでしょう。あなたのデータが情報漏えいに含まれていたからといって、詐欺師が実際にあなたにスパムを浴びせたり、あなたのアドレスを詐称することに成功したとは限りません。一方、この違反は2012年に発生したため、何らかの影響を受けていた可能性があります。

とはいえ、Gmailアカウントをお持ちの方は、アクティビティモニタで不審な点がないかを確認することができます。また、万が一に備えて、最新のセキュリティ侵害の情報を常に把握しておくことをお勧めします。

機密情報（恥ずかしい秘密など）を必要とするウェブサイトに登録する場合は、固有の電子メールとパスワードを使用することで、サイバー犯罪者があなたの実名をオンライン取引に結び付けることを困難にすることができます。

vBulletinに依存しているサイトの管理者の方は、必ずアップデートしてください。直近のパッチは先月、マルチプレイヤーゲーム「Dota 2」のフォーラムが不正アクセスを受け、190万アカウントに影響が出たことを受けてのものです。

どのような教訓を得ることができるのか。

これはBrazzersフォーラムを利用する人の責任ではありませんが、ディスカッション・コミュニティの利用者は、機密データを入力する際には、やはり十分な警戒が必要です。また、***を使用している人も注意が必要です。

企業はそろそろ、平文ならともかく、M5暗号化されたパスワードを使うのは安全ではないことに気づくべきでしょう後者を使用しているウェブサイトを見つけたら、プレーンテキストの違反者に知らせるべきです。

その他、被害に遭われた方や、同じようなサイトがハッカーに狙われているのではないかと心配されている方にアドバイスをお願いします。