PSN 個人情報漏えい問題
- PlayStation Networkの個人情報漏えい問題、今後の対策とサービス再開予定を発表 (INTERNET Watch)
- 「既知のサーバー脆弱性が原因」、ソニーが個人情報漏えい問題で経緯を説明 (ITpro)
- 【速報】ソニー、個人情報流出に関する記者会見:ニュース (PC Online)
ソニーの長谷島眞時CIO(最高情報責任者)は、「(今回標的になったものは)世の中で知られていた既知の脆弱性だったが、(ネット配信サービスを手がける米子会社である)Sony Network Entertainment International(SNEI)の経営層は認識していなかった」と語り、セキュリティ対策が不十分だったことを示唆した。
「既知のサーバー脆弱性が原因」、ソニーが個人情報漏えい問題で経緯を説明 (ITpro)
うむ…。既知の脆弱性をそのままにして、そこをつかれて進入されたのか。
クレジットカードの情報は暗号化されて別DBに保存されてたみたいだけど、パスワードは暗号とかハッシュされていたんだろうか…。
漏洩したとみられる個人情報は、氏名、国と住所、メールアドレス、誕生日、性別、サービスへのログインパスワードとID。セキュリティ対策は施していたが暗号化はしていなかった。ただしパスワードはそのままではなくハッシュ化(別の文字列への変換)してあった。買い物履歴やクレジットカードの番号と有効期限などは「証拠は無いが漏洩の可能性がある」とした。「現時点までにクレジットカードの不正使用や、その他の金銭的な被害報告は確認してない」(ソニー)。
【速報】ソニー、個人情報流出に関する記者会見:ニュース (PC Online)
パスワードはハッシュされてたのか。でも、salt や stretch とかされてたんだろうか(少なくとも単純にパスワードのハッシュ値を求めただけでは、総当たりなりで求められてしまうので)。