Peatix の情報漏えいは、どれくらい危険なのか。

最近大きく報道された Peatix における ID / Password(encrypted) の漏洩事件。その詳細は、まだ明らかとなっておりませんが、この情報漏えいがどれくらい危険なのか、検証してみました。

https://www3.nhk.or.jp/news/html/20201120/k10012721531000.html

チケット販売サイト「Peatix」利用者リスト ネットで取り引き | NHKニュース

上記の通り、メディアでも大きく取り上げられているため、知らない人は少ないでしょう。しかし、その危険性については余り説明されていません。まだ、内部の者による漏洩なのか、或いは、外部からのハッキングによる漏洩なのか、それらも未だ不明のままです。

公式情報は、以下のとおりです。

「お詫びとお知らせ」：https://announcement.peatix.com/20201117_ja.pdf

https://about.peatix.com/securityfaq.html

【Peatix不正アクセス事象】よくいただくご質問とその回答

ちなみに漏洩の対象は、「2020年10月16日から2020年10月17日にかけて行われた第三者による不正アクセスによるものであることから、それ以前にアカウント登録されたお客様は全て不正引き出しの対象となります。」とありますから、Peatix 利用者のほぼすべてという事になります。当然、私も被害者です。もし、Peatix で利用してた ID/Passowrd と同じ組み合わせで e-mail を利用していたとすると、その人の e-mail は、すべて丸見えです。従って、e-mail でやり取りしていた機密情報も何もかも漏洩しています。

弁護士さんの意見は、どうなっているのでしょうか。

https://news.line.me/issue/oa-bengo4com/jpgkf4xr7vte

Peatix「最大677万件」の情報流出…賠償はどうなる？ (弁護士ドットコム)

「暗号化された Password なら、ひとまずは安全では？」と、御思いの方も多いと思います。では、暗号化 Password の漏洩が、どれだけの危険性をはらんでいるのか、検証してみます。

暗号化 Password の特定には、広く一般に公開されているソフトウェア「John the ripper」を利用することができます。

https://www.openwall.com/john/

John the Ripper password cracker

この John the ripper をインストール後、Password 特定に利用する Word List をGit で取得し、実行してみます。

$ john --wordlist=./Probable-Wordlists/Real-Passwords/Top304Thousand-probable-v2.txt --users=root ./johnpasswd 
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
xxxxxxxxxx       (root)
1g 0:00:03:46 100% 0.004420g/s 479.5p/s 479.5c/s 479.5C/s sundowners..steersman
Use the "--show" option to display all of the cracked passwords reliably
Session completed
$ 

ものの数分で、私の Server の root password は特定されました。

以上