This page looks best with JavaScript enabled

パスワード使い回したらpwnられちゃった😇

 ·   ·  ☕ 3 min read

複数のサービスで同じパスワードを使いまわしていたらPeatixの件で漏れて面倒なことになりました。自戒の念を込めて経緯を書き残します。

パスワードの使い回し

「サービスごとに異なるパスワードとか人間には不可能」
「今まで何も問題なかった」
「よほど💩な実装じゃない限り大丈夫じゃね??」

こんな感じのトンデモ理論を振りかざして、5種類くらいのパスワードを使いまわしていました。

Peatixの件

たぶんこちらがわかりやすいです → 不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog

情報流出のニュースを地震が起きたらTwitterに集合級の危機感で眺めていました1

「おっ、これ以前G○tHubのイベントに参加したときに使ったやつじゃん!」

その後「dehashした」とか「ユーザベースはほぼJapan」とか見てさすがにヤバい気がしましたが、特に何もしませんでした。

そして数日後…

Parola güncellendi

最初にGitHubから警告がきました。11/26 01:02
意訳:Hey!お前の認証情報漏れてるゾ!パスワードを変えるんだ!


さすがにヤバイと思い、パスワードを変え始めました。

続いてほぼ使っていないeBayからも。11/26 11:09
意訳:お前の認証情報確実に漏れてるゾ!すぐにパスワードを変えるんだ!

同日中にほとんどの変更を終えましたが、Netflixのことをすっかり忘れていました。

そして、トルコのスーパーハカーに私のマイリストが…。12/1 01:50

3分後にはパスワード(と言語)を変更されました。
訳:パスワードが変更されました

ちょうどPCの前にいたので、パスワードリセットと強制ログアウトを行って事なきを得ました。ちなみに視聴履歴はありませんでした。

後日談とか

数日後にはHave I Been Pwnedでもpwned判定になりました。

今まで不正アクセスなんて他人事だと思っていましたが、そんなことはありませんでした。今回はGitHubとeBayのメールを見て、いくつかのサービスのパスワードを侵入される前(たぶん)に変更できて、Netflixもログイン時のメールですぐ対応できたので、たまたま大きなダメージを回避できました(たぶん)が、通知がなければ大変なことになっていたかもしれません。

さすがに懲りたので、これからはサービスごとに異なるパスワードをつけます。

しかし気になるのはなぜパスワードが漏れたかです。↑のHave I Been Pwnedの記載だと漏れたのはsalted password hashesなので、辞書攻撃 or 総当たりで破られたと考えられます。そんなに弱くないパスワードを設定したはずなのですが、考えが甘かったのでしょうか。情報流出から不正アクセスまで約2年で、流出が421万件でdehashされたのが122万件あるとか言われているのでストレッチングは足りてなさそうですが…。詳しい人がいたら教えてください。


  1. というかそもそもTwitterで知りました ↩︎