【ネット】「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性 リスト型攻撃で [Ailuropoda melanoleuca★]
■ このスレッドは過去ログ倉庫に格納されています
3/30(木) 17:24配信
エン・ジャパンは3月30日、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表した。外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。
漏えいした可能性があるのは、2000年以降にエン転職に登録した人のうち、Web上に登録した履歴書25万5765人分。すでに退会した人のデータが漏えいした可能性はないとしている他、履歴書や企業側が利用する管理画面の改ざんなども確認していないという。
問題を受け、エン・ジャパンは30日午後3時に、不正ログインされたユーザーのパスワードをリセット。不正にログインしていた通信元のIPアドレスもブロック。被害の拡大を防ぐため、他のユーザーのパスワードもリセットし、再設定するようメールで連絡したという。現在は警察への通報や個人情報委員会への報告をしている段階としている。
エン・ジャパンによれば、事態に気付いたのは27日。不正ログインを確認し、詳細に調査したところ、20日から27日にかけてリスト型攻撃を受け、履歴書にアクセスされていた可能性が判明したという。
同社は今後、「IDおよびパスワード認証以外のシステムセキュリティの高度化」などによって再発防止を目指すとしている。
ITmedia NEWS
https://news.yahoo.co.jp/articles/5e19a886efb63df3ea0678a0ca05bcffd5c41a87 どうせQuoカードすら送らんだろ
人件費送料含め、ン億円規模の費用がかかるんだから
Youtube等に不正アクセス情報漏洩告知チャンネルでも作って告知義務化させた方がまし
こういう会社は利用者の中でも漏洩してない相手には黙ってるようなクズだから >>114
> >>112
> 同じメアドとパスワードがバレたらヤバいだろ
普通ユーザパスワードを平文で保存しないものだろう
それとも平文で保存やらかしたことまでわかってるの?
クラックされたのはあくまでもエン転職のシステムで
エン転職は明らかに何かを隠してる。 >>128
この前Zurich自動車に漏らされたがQUOカード500円送ってきたわ
つーかQUOカードとかコンビニ行かない人間には糞迷惑だしAmazonギフトコードにでもして欲しいわ >>129
ここで解説してもしゃあないけど。
世の中には平文保存もあればフィッシングで入力データ根こそぎ取られるケースもあるんだよ。
そしてサービスAで使っていたユーザ名(やアドレス)、パスワードを別のサービスBで登録する人がほとんど。
例えばTwitterとLINEで同じとかね。
そうすると片方で取られた時に全部のサービスで使ってるIDやパスワード変えてないと不正アクセスにつかわれる。 >>132
> そしてサービスAで使っていたユーザ名(やアドレス)、パスワードを別のサービスBで登録する人がほとんど。
>
> 例えばTwitterとLINEで同じとかね。
> そうすると片方で取られた時に全部のサービスで使ってるIDやパスワード変えてないと不正アクセスにつかわれる。
そんなわかりきったことを
いまさらとうとうと語られても、、、、、 昔の住所で登録してるかな
俺の素晴らしいキャリアが晒されるw >>133
お前が何も分かってないから説明されてるんだろw
>>114も理解できないガイジよ >>132
横だけど、それが25万件もあるか?って話じゃん?
しかも試行して成功したのが25万件って話だとして、リスト攻撃でやってヒット率50%ですら50万件、
実際には良くて10%だろうから、じゃあ250万件分もリスト用意していたのか、
そんで7日間で250万件だとしてそんな大量アクセスと大量のダウンロードをなぜ早期に検出出来なかったのか、とか。
例えば監視対象でないユーザアクセス以外の経路で、直接ユーザデータに触れる箇所に入られて、
25万件入ってるところに触れられた形跡があるというなら、リスト攻撃だと言うのは違うよねって話かと。 >>137 転職サイトの仕組みとして転職先は自分の会社に応募してきた人の履歴書は見れるだろうから
×求人者のID/PSSS ではなくて
〇募集会社のID/PASS
なら大きな会社なら数アカウントで23年間で25万件ぐらい行くんじゃないかな? >>141
それはそうだけど、その対応として求職者側のID/PASS変更が対策になるかね。 >>142 25万件の漏洩にたどり着く前にいろんなパターンを想定して
とりあえずパス変更を一斉に行ったのかもね
まだ出ている情報だけでは、良くわからない
今回、個人情報の中でも機微に類する普通の個人情報の10倍ともいわれる重度の漏洩なので
エン・ジャパンの対応が気になりますね
クレジットカードの情報よりも重大な機密レベル・・・ さてどうなることやら >>137
君はハッカーか何か?
50%とか10%とかやり方とか
全部君の妄想だろ >>131
アフラックは手紙しか送ってこないぞww
証券番号と名字をお漏らししただけだから大丈夫って、全然大丈夫じゃないw まずねエン転なんてニッチなサイトで25万件もヒットするリストもってたら
Amazonで買い物するだろw
最終的に金が目的なんだから 登録してるのがバレただけで立場が悪くなる人いるんじゃないの >>146 ニッチなのか?
>エン転職は900万人を超える会員数を保有し~ >>145
ソースネクストの場合は知らない間にカードが無効になってた
むこうが負担したのはカード再発行手数料のみ 昔もこんな事件あったよ
登録者のデータが闇で売られたんだよ
顔写真付きで学歴や自宅住所や電話まで全部載ってるから買った人達は好みの女性を選び放題で
色んな登録女性の家にストーカーみたいな男がやって来る事件が相次いで裁判になってた 中学の頃、教師からの評価を良くしたかったのと、ケミカルな雰囲気が格好いいと思い込んで理科室の手伝いを良くしていた。(といってもゴム栓に穴をあけたり、ビーカーを掃除したりする程度)
でも当時の俺は、自分がだんだん子供ながら天才的な化学の知識を持つすごい奴だと勘違いし始め、ある日友人を無理やり誘って理科室に忍び込んだ。
そこで適当な物質(っつっても多分ふっとう石とか)を指で触りながら
「へえ…○○先生もなかなか良い物を仕入れて来るんだな。」
とか言ってたり、
適当な薬品の入った瓶を傾けて
「ははっ。ちょっと調合の具合がおかしいかな。ま、授業用には十分か。」
とかほざいてた。
友人は当然ハァ?って感じ。
それでも俺はおかまいなしに「ふん。」とか「ははっ!」とかやってた。
そんで一番奥の戸棚を開けて急に表情を変え、「!!これは!○○先生!いったい…!なんて物を!何をしようとしてるんだ!」
って言ってみせた。友人も驚いて「それそんなヤバイの?」って聞いてきた。
俺は「こんなの黒の教科書の挿絵でしかみたことないぜ…!
それなら、もしかしてこっちの瓶は!?」って別の瓶を手に取って嗅いだ。
そしたら、それはなんか刺激臭を発する化学物質だったらしく、
(手であおいで嗅がなきゃいけない奴)直嗅ぎした俺は
「エンッ!!!」って叫んで鼻血を勢いよく噴出しながら倒れ、友人に保健室に運ばれた。
俺は助かったが、どうやら俺の友人が変な勘違いをしたらしく、
「××(俺の名前)は黒の教科書に乗ってる毒物に感染したんです!!」ってふれまわっていた。
それ以来俺のあだ名は毒物くんになった。当然もう理科室に行く事は無くなった。 選考が進むと企業の採用担当者が個人情報を持つから、その人の単純なヒューマンエラーで情報流出は簡単に起きる
自分のメアドにまったく関係のない人の履歴書その他一次面接の評価にまでもろもろが送られて来たことが2回ある
どちらも面接担当者に送るべきところを宛先の入力ミスで自分に送られたらしい
もちろん報告したけど社内でうやむやにされて揉み消し状態だった 意外ととidは漏れてもいいものって知らない人多いよね
まぁ、漏れるの自体だめなんだけど、パスワードとどうとうに守られてるかとか こんな所を使って転職する奴って使い物にならないだろ
そんなゴミみたいな個人情報取ってどうすんの >>2
ウンコリアンが虎視眈々と狙ってるもんな
まず寄生虫在日ウンコリアンの排除から始めないとな 退会した人の個人情報消してなくて、退会したから連絡来なかったみたいな話前なかったっけ >>157
> ハロワ勢の俺に隙はなかった
中国の下請けの孫請けの親戚の知人が管理してるよ >>128
送る気すらないだろうけどQuoカード500エンぽっちでゴメンねじゃ割に合わないんだよ
普通の会員情報のおもらしとは段違い
氏名住所生年月日住所電話番号メアドに購入履歴ぐらいならともかく
顔写真学歴職歴年収とかクリティカルなものがたくさん含まれている
もしSNSのIDも登録してたらどんな行動してきたか今なにをしてるか等がバレるばかりか
入手した情報から類推して不正ログインも十分可能だろう
独身で学校や会社にいる時間帯なら簡単に空き巣に入れるしな >>166
お前はそんなんだからどこ行っても使い物にならないんだよ
転職斡旋してる企業が大手でも
取り扱ってる人材はゴミばっかりって意味わからんかな
読解力ゼロのZ世代なのかな >>169 頭悪そう・・・
イキリ爺は今どきの雇用システムを理解できないのか >>171
バカだろお前
企業が必要としてるようなヘッドハンティング系の転職するような人は
こんなサイト使わないから
で、お前年いくら稼げてるんだ? こんな大失態しでかして、社長が詫びもしない会社って? つか大抵は普通に直接採用ページ見て応募してカジュアル面談から始めるけど、誰がいつ使うのこれ そういや転職サイトでやたら入力を求めてくるが…
確信犯かな パスワード使い回すバカが25万5765人もいるってことか >>181
上で書いている人がいたけど人数があまりに多いから登録者が個別にハッキングされたというよりもっと上の権限からでは?という推測(あくまでも)
一括でID情報知れば個別にも叩けるよな?その辺はどういうことなのだろうな?
念のため広範囲に登録者変更かけるということでは? パスワード使い回しの人はこの際変えるべき ID en-shushoku
PASS p@ssw0rd もちろんどこかで使っている同じIDパスワードや類推容易な場合からの個別叩きもありうる もしそうだとなぜここを狙った?だし気持ち悪い出来事だな 自分だったら今後の対応含めて詳細は報告求めるな 【Yahoo! BB顧客情報漏洩事件】
犯人と創価学会
『日刊ゲンダイ』が一面で創価学会幹部が流出事件に関与していたことを報道。またその2名が過去に創価学会が起こした言論出版妨害事件や宮本顕治宅盗聴事件にも関わっていたことから創価学会全体に盗聴を是とする体質があるのではと批判した。 まずはテメェのカイシャのサイバー担当を
しっかり雇えや >>94
なんだよ、それ?
病歴や資産状況でも書いてるのかよ?
頭おかしいのはお前だよクズ IDのメアドもエン転職だけにしか使ってない固有のアドレス
パスワードも使いまわしてない固有のものだったが不正ログインされたメールきたぞ
ほんとにリスト型攻撃か??
メールにあった、専用お客様相談窓口に電話して、
何回ログインを試したらロックされるか尋ねてみたがここではすぐにわからないとの回答・・・
基本的なことだよね リスト型攻撃に使われたリストそのものが最初からエン転職から漏れたものだったとしたらあるいは お詫びのクオカード配れよマジで
個人情報ダダ漏れじゃねーか >>192
厳罰化は違法に取得された個人情報の価値をあげて犯罪者の利益を増やすだけやで 職探してて良さそうなの見付けて今から
ここに登録しようと思ってんだけど
やめといたほうがいい? 不正アクセスに1週間気づかず放置しました。
でも責任は弊社には一切ありません。
というサイトだから常識的に考えたらやめた方がいい。 【Yahoo! BB顧客情報漏洩事件】
犯人と創価学会
『日刊ゲンダイ』が一面で創価学会幹部が流出事件に関与していたことを報道。またその2名が過去に創価学会が起こした言論出版妨害事件や宮本顕治宅盗聴事件にも関わっていたことから創価学会全体に盗聴を是とする体質があるのではと批判した。 中学の頃、教師からの評価を良くしたかったのと、ケミカルな雰囲気が格好いいと思い込んで理科室の手伝いを良くしていた。(といってもゴム栓に穴をあけたり、ビーカーを掃除したりする程度)
でも当時の俺は、自分がだんだん子供ながら天才的な化学の知識を持つすごい奴だと勘違いし始め、ある日友人を無理やり誘って理科室に忍び込んだ。
そこで適当な物質(っつっても多分ふっとう石とか)を指で触りながら
「へえ…○○先生もなかなか良い物を仕入れて来るんだな。」
とか言ってたり、
適当な薬品の入った瓶を傾けて
「ははっ。ちょっと調合の具合がおかしいかな。ま、授業用には十分か。」
とかほざいてた。
友人は当然ハァ?って感じ。
それでも俺はおかまいなしに「ふん。」とか「ははっ!」とかやってた。
そんで一番奥の戸棚を開けて急に表情を変え、「!!これは!○○先生!いったい…!なんて物を!何をしようとしてるんだ!」
って言ってみせた。友人も驚いて「それそんなヤバイの?」って聞いてきた。
俺は「こんなの黒の教科書の挿絵でしかみたことないぜ…!
それなら、もしかしてこっちの瓶は!?」って別の瓶を手に取って嗅いだ。
そしたら、それはなんか刺激臭を発する化学物質だったらしく、
(手であおいで嗅がなきゃいけない奴)直嗅ぎした俺は
「エンッ!!!」って叫んで鼻血を勢いよく噴出しながら倒れ、友人に保健室に運ばれた。
俺は助かったが、どうやら俺の友人が変な勘違いをしたらしく、
「××(俺の名前)は黒の教科書に乗ってる毒物に感染したんです!!」ってふれまわっていた。
それ以来俺のあだ名は毒物くんになった。当然もう理科室に行く事は無くなった。 >>188
自分も同じく。
パス管理アプリのジェネレータ使っての完全ランダム固有パス使ってたのに
不正アクセス対象ですってメール来た。
本当に外部からの入手リストからならあり得ないんだけどって問い合わせしたら
クソみたいな回答返ってきた↓
ご利用のパスワードを使われた理由ですが、
この度の件につきましては弊社からの情報流出が起きていないため、
弊社としての経緯は分かりかねます。
お問い合わせをいただいた中、申し訳ありません。 >>200
同じく。
ここでしか使ってないかなり複雑なパスワード突破されてんのにリスト型攻撃ってありえん。
問い合わせしたら微妙に噛み合わない回答してきたけど、回答までコピペだったようだな。 連絡して教えてもらったけど、
・エンから個人情報は漏れてない(お前らのIDパスワードがリストに乗って攻撃された)
・エンのセキュリティに問題はない
・不正ログインの詳細はアクセスログから確認した
・不正ログインの日時等は特定できない
・不正ログインの詳細は答えられない
・会社としての対応ってのは例のウェブの広報発表
・(不正ログインされてるが)今後個別に状況を連絡してくれるかどうか→回答拒否
・わからないことは聞いてね。
って事らしい。
想定問答をコピペしているだけらしくて、微妙にズレてたり矛盾してたりイラッとする言い方だぜ。 ユーザサポート担当がテンプレ回答返してるだけっぽいね
内部事情知りたいところだが現場レベルだと責任の擦り付け合いしてそう まさか内部の社員の犯行でしたなんて口が裂けても言えないからな >>204
不正があった事はログで確認したけど日時はわからないってこと?
ログって日時付くやろ? メールアドレスとパスワードの使い回しはしてなかったのでリスト型攻撃という説明に納得がいかない。
第三者による流出経緯の調査をしてほしいな。 >>208
職歴と直近の年収と住所からある程度の生涯年収は把握できるからな
東京の大学を出て公務員20年後外資系10年務めだとしたら最低でも1億2000万~1億5000万円は稼いでるだろうと予想できる 企業でこれとか、マイナンバーカードはどうなんだよ… >>200
利用者、軽く見られてバカにされてるかもなこれ なるほど。履歴書の方はガバガバだったのでログイン後の履歴書のシステムのIDを変えたらDLできちゃったって事か。
あれ?
そんな感じのニュース、だいぶ前に一回見たことがあるような気がするんだけど、
気のせいか?www ■ このスレッドは過去ログ倉庫に格納されています
