今日の朝、私は私のメールボックスに手紙を見つけました:
親愛なるFormspringユーザー、
セキュリティ上の理由から、パスワードを無効にし、リセットするようお願いしています。 Formspringに再度ログインすると、パスワードを変更するように求められます。
パスワードをリセットしていただきありがとうございます。
Formspringチーム
結局のところ、これは単なる「セキュリティ上の理由」ではありません。 LinkedInとlast.fmに続いて、フォームスプリングから約50万個のパスワードが漏洩しました。
「今朝、一部のユーザーパスワードが侵害される可能性のあるセキュリティ侵害を発見しました」とFormspring CEOのAde Olonoh氏はブログで述べています。 「これに対応して、すべてのユーザーパスワードを無効にしました。 ご不便をおかけしましたことをおpoび申し上げますが、リスクを冒さないことを希望しているため、すべての加入者にパスワードのリセットを依頼しました。 「ユーザーは、Formspringを再入力するとパスワードを変更するよう求められます。」
このエントリーは、ユーザー情報なしでハッシュのみが公開されたことを強調しています。
TechGeekからの質問に答えて、Formspringのスポークスマンは、420,000のパスワードハッシュが公開されたことを知ったと言いました。 検証の結果、これらはすべてサービスデータベースに含まれていることがわかりました。 同社は、BCryptサポートシステムをアップグレードする予定であることを確認しました。
攻撃者がサーバーに保存されたデータにアクセスする方法について尋ねられたとき、会社の代表者は電子メールで次のように述べました。 「。
「ギャップをすぐに修正できました。 同社は、社内のセキュリティポリシーとその実装方法を見直し、これが二度と起こらないようにします。」
KollinZはFSpring管理パネルからスクリーンショットを追加しました。