侵害通知サービスHave I Been Pwnedのセキュリティ研究者Troy Hunt氏によると、1つは仮想通貨ウォレットサービスGateHubの140万アカウントの個人情報。もう一つはEpicBotの約80万アカウントのデータだ。
漏洩データには、bcryptで暗号ハッシュ化された登録済みのメールアドレスとパスワードハッシュが含まれたようだが、パスワードハッシュが含まれていないケースもあり、定かではない。
ハント氏は、3.72GBのGateHubの漏洩データに「2要素認証キー、ニーモニックフレーズ、ウォレットハッシュも含まれている」と述べた。一方、GateHubの関係者は「調査の結果、ウォレットハッシュはアクセスされていない」と述べている。
また、ソフトウェア開発者Aashish Koiralaは「@GateHubの資格情報がダークウェブ上で侵害されていることが判明した」とツイートした。
@troyhunt Just got word from Experian's IDNotify that my credentials for @GateHub were found compromised on the dark web. FYI in case you were getting any news about a GateHub breach or hack.
— Aashish Koirala (@aashishkoirala) November 14, 2019
3か月前にGateHubは、ハッキングにより18,000以上のユーザーアカウントの機密情報(メールアドレス、ハッシュ化されたパスワード、ハッシュ化された回復キー、暗号化されたXRP台帳ウォレットの秘密キー)が奪われた。当時同社は「複数のユーザーから約2,300万XRPが奪われた可能性がある」とブログで認めた。
今回、GateHubセキュリティチームはArs Technicaにメールで以下のように伝えた;
「投稿者が“GateHubに属している”と主張するRaidForumsに投稿されたデータベースを認識しています。疑わしいGateHubデータベースはチームによって徹底的に調査されているため、現時点ではその真正性を確認することはできません。更新情報は必ず報せます。」
関連記事
仮想通貨ニュースサイトのコイン東京では、ビットコインやリップル等仮想通貨にまつわる最新速報やプロトレーダーによる仮想通貨価格チャートの分析&解説、注目プロジェクト等のインタビューなど様々なコンテンツをお届けしています。