ビジネス向けSNSの米Linkedinは現地時間2012年6月6日、Linkedinユーザーのパスワードが流出したことを明らかにした。同社は該当するパスワードを無効にした。
Linkedinは、同日朝に報じられた大量のパスワート窃盗について調査したところ、一部パスワードがLinkedinアカウントのものであったことを確認したとしている。
パスワードが盗まれたユーザーに対しては、電子メールで通知し、パスワードを再設定する手順を説明する。電子メールのメッセージには、リンクはいっさい掲載しない。ユーザーが指示に従ってパスワードアシスタンスのリクエストを送ると、パスワード再設定のためのリンクを含む電子メールが届く仕組みだ。
また、影響を受けたユーザーには、カスタマーサポートから状況を説明する電子メールが送られてくる。
複数の米メディア(PCWorld、Forbesなど)の報道によると、ノルウェーのIT情報サイトが同日、650万件のパスワードを含んだファイルがロシアのハッカーフォーラムに投稿されたことを報じた。ファイルの中身はSHA-1アルゴリズムを使って暗号化されたパスワードのみで、ユーザー名など他のデータは含まれていない。どのような経緯でファイルがフォーラムに公開されたかは解明されていないが、流出源はLinkedInと見られている。すでに20万件以上のパスワード悪用が報告されているという。Linkedinを巡っては、iOS向けアプリケーションがユーザーの知らないうちに端末のカレンダーデータを平文のままサーバーに送信していたと報じられたばかりだった。
[発表資料へ]
