宅ファイル便って何で個人情報が漏洩したのだろう?パスワードが平文で管理されていて、それがそのままパスワードリスト攻撃に利用されるとかいう二次被害が起きる可能性等はさておき…セキュリティ屋がまず気にすべきことはただ1つ。なぜ攻撃者のファイルが置かれたのか?だろう。今どきパスワードが平文管理というのは笑えるようで笑えないけど、それは個人的にはあまり問題じゃあない。なぜなら、宅ファイル便みたいなサービスを作る場合は平文管理を辞めればいいだけだから。また漏洩事件を最小限にするために、不要な個人情報は削除なりセキュリティリスクのなさそうな場所へ退避しておけばよいだけ。後発サービスの場合は当たり前にそのへんについてはベストプラクティスを選び取れる。
だから、新ファイル共有サービスを作るにあたって、なぜ宅ふぁいる便のセキュリティは突破されたのか?を気にしたいところだ。アップローダのバグでファイルが上げられたのか、別のルートから置かれたのか、それとも運用者や使用者のソーシャルエンジニアリング的な攻撃によるものなのか、その辺は明らかにしてくれないと困る(というか、同様のサービスを運営する場合に何に注意スべきか?のヒントになる)で、なんというかWebの情報を見てもパスワードが平文であることがセンセーショナルな出来事らしくて、そのことの問題以外の情報が見つからない(苦笑)
コメント