500万件のGmailアカウントとパスワードが流出? 44
ストーリー by hylom
Googleは不正侵入を否定 部門より
Googleは不正侵入を否定 部門より
koshian 曰く、
ロシアのbitcoinフォーラムに、500万のGmailアカウントとパスワードのセットが流出したという話が投稿されていると The Dayly dotが伝えています。国内でも、日経ITproなどがこれを伝えています。
現在ダウンロードできるファイルはパスワードが消されたもののようですが、7z で圧縮されても30MBほどもある膨大なもの。これが本物なのかどうか、本物なのであればなぜ生パスワードが流出したのかなど、謎が尽きません。
タイトルが完全に間違い (スコア:5, 参考になる)
500万件のGoogleアカウントとそのパスワードが漏れたのではなく、
過去に他サイトから漏れたメアドとパスワードのセットをかき集めたら
アカウントの登録メアドがGmailメアドだったものが500万件あっただけです。
ガチで悪質なデマなわけですが、
今の時期どこがこーゆーの流すと得するんでしょうね。
そういう観点で見る以外に価値はありませんね。
Re:タイトルが完全に間違い (スコア:1)
適当に500万件集めたら、公開直後は2%も有効だった、というのは結構怖い話ですけどね。
Re:タイトルが完全に間違い (スコア:1)
メアドが2%有効だったのか、
メアドとパスワードのせっとが2%有効だったのかで、
意味が違いますよね。
後者なら、他社のデータにGmailアカウントと同じパスで登録してたというありがちなケースが2%「も」あったというヤバイことに。
Re:タイトルが完全に間違い (スコア:2)
後者でも、2%しか居ないなら素晴らしい事だと思います。
Re: (スコア:0)
下のコメに、有効だったアカウントはリセットしたとあるので、
とりあえずGmailについては問題ないようです。
Gmailアドレスをアカウントに使ったほかのサイトの問題は、Googleのせいじゃないものねえ。
Re: (スコア:0)
この教訓は
・IDはできるだけありふれているものがいい
ってことでは。
IDがユニークでかつ、IDとパスワードを使いまわしていたらどうしようもない。IDが汎用的で他人とかぶっていたら、それだけリスクが薄まるわけだし。まあ、使いまわすなって話だけど、Gmailのアカウントを取得する動機によっては、Gmailが乗っ取られても痛くもかゆくもない人も一定数存在するはずだから、どうでもいいんでしょうね。
Re:タイトルが完全に間違い (スコア:2)
さきに書かれたとおり、この件に関して言えばメールアドレスだからユニークです。
一般的なリスクとして考えた場合、同じIDに紐付くパスワードの数が増えるだけでこうした攻撃に対してリスクが薄まることはありません。
Re: (スコア:0)
googleのID=gmailのメールアドレスなので、ユニークにならざるを得ないのでは。
Re: (スコア:0)
GoogleのIDはGmail以外のメールアドレスも使えます。
ユニークはそのとおりですが。
でも元コメントの主旨はそうじゃないですね。
Re: (スコア:0)
いくつのサイトから集めたのか知らないけど、Gmailだけで500万件ものパスワードが平文で保存されていたことが驚きだよ
Re:タイトルが完全に間違い (スコア:1)
>アカウントの登録メアドがGmailメアドだったものが500万件あっただけです。
それが分かるのはあとの話。
当初それがGmailから漏れた可能性を想定するのは、「悪質なデマ」とは言わんだろう。
Re: (スコア:0)
いいえ、悪質なデマです。
まず、そもそもの情報の出元は
「Googleアカウントをクラックした」と言っていますがデマです。
つぎに、それに踊らされたことになっているメディア、
このタレコミも、程度は軽くなってもやはりデマです。
デマの拡散に協力するものには当然責任があります。
さもなければ、
都合のいいソースを見つけたらなんでも叩き放題、
そういうソースを他人を装って誰かに書かせればなんでも情報工作放題になってしまいます。
Re: (スコア:0)
うーん [wikipedia.org]、狭義(原義)のデマかどうかは情報不足かな。
広義は広すぎて何でもいえますね。
まぁ間違いは間違いでいいじゃない。
早急に訂正、謝罪しないのが悪質って事で。
Re: (スコア:0)
> まぁ間違いは間違いでいいじゃない。
> 早急に訂正、謝罪しないのが悪質って事で。
扇動含めてわざとデマ流してる連中が訂正も謝罪もするわけないじゃん。
する羽目になったら別のところからまたデマ流す。
一般人側はそういう連中を徹底して批判することだけが正しい。
Re: (スコア:0)
hylomなので平常運転ですよ。
誰が得するとかも考えすぎです。
普通にMS関係の記事でもやらかしてますので。
Re: (スコア:0)
Gmailのパスワードを使いまわしていた人が2%ほどいたと。
Re:タイトルが完全に間違い (スコア:1)
> Gmailのパスワードを使いまわしていた人が2%ほどいたと。
そして統計的に観れば、メアドがログインIDのサービスでは
すべてのサービスにおいて利用者がパスワードを使いまわす確率はそんなもんであって
Googleだけ叩こうとするのはお門違いと。
さて、じゃあAppleでも叩いてみてもらえません?
2%程度はパスワード使いまわしてるでしょうし。
Re: (スコア:0)
ニコ動から不正ログインされてるって連絡が来て
確かに使いまわしてるメアドとパスワードだったから
とりあえずパスワードの使いまわしやめた
スラドも同じ組合せだけど変えてない
個人情報登録してないところは別にどーでもいいわ
Re: (スコア:0)
そしてそのアカウントが悪用されたりしてね。
捨てアカについてもそれなりの責任を持って扱わないといけないんじゃないんですかね。
Re: (スコア:0)
googleを叩いてますかね?
単にこういうことがあったよ、と報じられているだけでしょうに。
報道された=叩き、なんですか?
Re: (スコア:0)
だたのGoogle信者だろ
信仰を試されてるんで必死なんだよ
Re: (スコア:0)
単にこういうことがあったよ、と報じられているだけでしょうに。
お前には「500万件のGmailアカウントとパスワードが流出」した」と報じられているように読めるのか?
Re: (スコア:0)
>今の時期どこがこーゆーの流すと得するんでしょうね。
はっ!さてはベネッセか!
Re: (スコア:0)
ソースは?
大本営 (Google) 発表のみ?
Google曰く「有効な組み合わせは2%未満」 との事 (スコア:1)
Internet Watch: 約500万件のGmailアカウントとするリストが公開、Googleはシステム侵害を否定
http://internet.watch.impress.co.jp/docs/news/20140911_666325.html [impress.co.jp]
セキュリティホールmemoでも取り上げられてますね。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/09.html#20140911__Gmail [ryukoku.ac.jp]
Re:Google曰く「有効な組み合わせは2%未満」 との事 (スコア:3)
> Cleaning up after password dumps (Google, 9/10)。
> 当該「漏洩データ」のうち、実際に有効なものは 2% 未満だったそうで。
> 該当アカウントについてはリセット処置がなされたそうです。
> Gmail 利用者は、この件についてはあわてる必要はありません。
そうなんだ。Gmail限定の話だよね。
もし自分のメールアドレスとパスワードが他で使っていたとしたら、ほかのサービスで侵入される可能性がある。
# これを機にパスワードのルール変えた
7zにより10%に圧縮されたとして (スコア:0)
30MB / 0.1 = 300MB
これが500万件分(=5M件分)だから1人あたり60byte
アカウント名とパスワードの組なら確かにそんなもんか・・・
Re:7zにより10%に圧縮されたとして (スコア:2)
103MB 108,763,323 バイト です。
メールアドレスだけですよ。
Re: (スコア:0)
4929090件ありましたね。適当に解析してみました。
空行が63件。
"[a-z0-9.].*@[a-z0-9.]*" に4927658件、
うち"@gmail.com$"が4799784件。
grep -v "@\|^$" すると、不審な文字列が1326件出てきました。
「どれかのパスワード」かどうか分かりませんが。
Re: (スコア:0)
パスワードは消されて、アカウント名だけでは?
同じパスワードのもの集めて (スコア:0)
同じパスワードのもの集めて、あーこのアドレスあいつのだったのね!ってなっちゃうこともあるかもね。
有効? (スコア:0)
>>「公開されたユーザー名およびパスワードのうち、有効なものは2%に満たない」
ユーザー名はともかく、パスワードも有効なものが見つかった?
って、どうやって調べたのかしらん?
Re:有効? (スコア:2)
> ユーザー名はともかく、パスワードも有効なものが見つかった?
> って、どうやって調べたのかしらん?
Googleが持っている情報と照らし合わせたんでしょうね。
Re: (スコア:0)
Googleはユーザーのパスワードを知らないってことになってたような。
Re: (スコア:0)
パスワード知らなくてもパスワードの照合はできると思いますよ。
Re: (スコア:0)
できなかったらどうやってログインするんだって話になるよね。
Re: (スコア:0)
ハッシュ値しかもってなかったら照合できないと思ったんだろう。
次に#2675058は「それならsaltがあるから時間がかかる筈だ」と言う。
全力で陰謀論に乗っかる姿勢 (スコア:0)
新型 iPhone に アップル時計が発表されるタイミングでこんな事件が起きるなんて!
一体何者がリークしたのだろー
Re: (スコア:0)
過去一度も発生していない事例を、「そんなもんだろ」と言われても。
あなたの脳内妄想では、頻繁に発生しているのかも知れませんが。
Re: (スコア:0)
> 過去一度も発生していない事例
それどころか、現在まで一度も発生していません。
今回の話は #2674975 にあるとおりそもそも情報自体がねつ造です。
Re: (スコア:0)
Gmailなんだからそんなもんだろと言い切るオレサマカッケーな#2674957のAC乙