取引所ポロ二エックス、顧客情報の漏洩は否定
ユーザーのID・パスワードが流出した可能性が指摘されていた仮想通貨取引所Poloniexは2日、ソーシャルメディア上に拡散されているアカウント情報は同社の仮想通貨取引所から流出したものではないと発表した。
事の発端は昨年末、取引所のアカウントへのログインに使用できるとされるアドレスとパスワードのリストがツイッターで拡散。Poloniexはこのツイートに対して緊急対応を行い、影響があると思われるユーザーに対してメールを通じて、パスワードの強制的リセットなどを告知していた。
改めて調査を行なったとした同社は、「一部の少数の顧客(全体の1パーセントほど)に対してパスワードを変更するよう要請したのは、流出したメールアドレスとパスワードのリストを含むと指摘したツイートに緊急の対処しただけだ」と説明。Poloniexからのデータあるいは情報流出は無かったとする声明文を発表した。
調査の結果、リストにあったおよそ90パーセントのパスワードは既にhaveibeenpwned.com上の悪用されたパスワードリストに載せられていたものであったことが明らかになったという。
ユーザーIDやパスワードを含む情報を多くのサイトで併用するケースが影響した事例と見られる。これら併用した顧客情報の流出は日本国内の取引所でも警告メールを送付する事例が確認されており、世界的に被害が広がっていると見られる。
2段階認証の重要性も再確認できる事例だ。
なお、Poloniexではユーザーのパスワードをテキストや復元が可能な形式で保存せず、bcryptoハッシュ値として保存しているという。