【ネット】「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性 リスト型攻撃で [Ailuropoda melanoleuca★]
■ このスレッドは過去ログ倉庫に格納されています
3/30(木) 17:24配信
エン・ジャパンは3月30日、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表した。外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。
漏えいした可能性があるのは、2000年以降にエン転職に登録した人のうち、Web上に登録した履歴書25万5765人分。すでに退会した人のデータが漏えいした可能性はないとしている他、履歴書や企業側が利用する管理画面の改ざんなども確認していないという。
問題を受け、エン・ジャパンは30日午後3時に、不正ログインされたユーザーのパスワードをリセット。不正にログインしていた通信元のIPアドレスもブロック。被害の拡大を防ぐため、他のユーザーのパスワードもリセットし、再設定するようメールで連絡したという。現在は警察への通報や個人情報委員会への報告をしている段階としている。
エン・ジャパンによれば、事態に気付いたのは27日。不正ログインを確認し、詳細に調査したところ、20日から27日にかけてリスト型攻撃を受け、履歴書にアクセスされていた可能性が判明したという。
同社は今後、「IDおよびパスワード認証以外のシステムセキュリティの高度化」などによって再発防止を目指すとしている。
ITmedia NEWS
https://news.yahoo.co.jp/articles/5e19a886efb63df3ea0678a0ca05bcffd5c41a87 個人情報の塊だろうに、他要素認証とかなかったん?え? 住所氏名生年月日特技就職履歴学歴
25万人分はかなりでかいが 分類してリストアップすれば金になる情報になるのかね? ◢▉◣ ▉ ▉ ▉▉◣ ▉▉▉ ▉▉◣
▉ ▉ ▉ ▉ ▉ ▉ ▉ ▉
◥▉◣ ▉ ▉ ▉▉◤ ▉▉ ▉▉◤
▉ ▉ ▉ ▉ ▉ ▉ ◣
◥▉◤ ◥▉◤ ▉ ▉▉▉ ▉ ▉
▉
▉▉▉▉◥◣ ▉▉▉
▉ ◢◤ ◢◤ ▉
◢◤ ◢▉◤ ▉▉▉ >>71
リクルートは改悪して使い物にならなくなったので使えるのはここだけだったんだけどな
20年以上使い続けてきた2大転職サイトが使えなくなってこれからどこ使えばいいのか あー。今日会社の電話に「ヘッドハンティングです」とか言ってかかってきたのはこれか?
真に受けられないレベルで怪しかった >>13
架空通販の責任者や通販の店長にもなれるよ! >>1
うーん、俺も登録してるが、
パスワードリセットされて無いんだけど、
どうなってんだ? >外部で取得したID・パスワードを悪用して総当たりで不正ログインする
IDはともかく、パスワードの使いまわしはいかんね >>18
日本語上手く扱えないくらい苦労してるならサッサと日本から出てけば? だいぶ前に退会したな
念のため退会するときはデタラメな情報を入力して上書きしたわ こんなのあったのか
ムカつく奴の名前や住所で勝手に登録しとけば良かった 退会してて良かった
ここほんとに大丈夫かは分からないけど
>>79
これから自分もそうしよう >>82
直接自宅に来られて強制スカウトされるかも
怖いなあ
ここ登録してたんだよなあ >>50
リスト型って事は
登録して検索する文字列からデータを引き出すハックされたって意味じゃね? >>69
学歴、職歴も判ったらスカウトすんじゃね? (´;ω;`)うわぁショックどうしたらいいの
退会しとけばよかった。ずっと放置してた。。
他のエン・ジャパンのサービスは大丈夫なのかな 個人情報盗まれたみなさーん、いまどんなお気持ちですかー?w >>1
漏れた情報ってどっかに転がってないの?
見てみたい。 今勤めてる会社にエン転職に登録してるってバレるのか >>1
俺の兄が某企業の人事部長やってるが、自家用車の中丸まった履歴書だらけだった
別にネットでハッキングしなくても働いたことあるやつなら履歴書ぐらいとっくに外部に漏れまくってるよ
安心しな >>92
お前あたまおかしいんじゃないのか?
履歴書に書けるのなんてたくさんある個人情報のほんの一部だが
転職サイトには紙には書ききれない細かなことまでたくさんの情報がつまってる
まあ個人情報の取り扱いがおかしいお前の兄と人事部長として雇ってる会社もクズだけどな やばいだろ
履歴書なら氏名住所経歴写真はあるわけだろ?
ホワイトカラーは基本的に大卒だろうから、この人たちの実家は貧民ではないわな
またルフィ強盗団ウハウハやん >>1
悲惨だなw
低学歴もバレるし
次の就職にもばっちりマークされるしと
そして履歴書が詐称されるかどうかの確認も永年にわたってできる >>47
ほんとだ
各個人のIDとPW対比させたの内部から漏れてたりしないのかね?
相当なRetryしないとならなくて、クラックが成立しないと思う 住所氏名年齢携帯番号メールアドレス学歴職歴資格既婚か独身が漏れただけだ気にすんなよ リスト攻撃で当たった人数が25万もあるとは思えないから、これ企業アカウントがやられたろ。
公表しろよ 企業当たり前に漏らしてるけどなんもペナルティないの? >>97
実のところエン内部の社員の犯行か会員データの鯖の管理パス自体がリスト型攻撃でやぶられたんでしょ
各個人のIDとPASSなんてそれこそ好き勝手に決められるしそれを破るのはそんな簡単じゃない
会員IDって日本人ならではのだから海外からや外人からの攻撃だとなかなか想像しにくいしな
god_job@docomo.ne.jpとかhapponess@softbank.co.jpとかじゃなくtakuya_kimura@au.comとかmanko@osikko.jpとかさ
リスト型だからとかロボット型だからとか総当たり型だからOKとか無問題で責任はとらないなんて常識は通用しない 彡⌒ミ
(´・ω・`)ハロワ通いのあっしにゃ関係の無ぇ事でござんす マイナカードもこうなるんだろうな
再発防止を目指しやす!さーせん!で終われる話みたいだしな 1週間以上攻撃が続いていたのに自分たちには何一つ非が無いみたいな言い草だな 退会してなかった
該当してない人にもメールくるらしいけど、届いてないよー アホスwwww
流出した情報は取り返しつかんよwww
マイナンバー関連も時間の問題だろwww >>1
リスト型攻撃されたのはエン転職のシステムだろ。
登録者がパスワード使い回しと何の関係があるの? >>112
同じメアドとパスワードがバレたらヤバいだろ
それ使いまわししてたら色んなところに入られる
ネット通販、SNS、サブスクなどなど >>105
おれもそう思う。
リスト型でこの数はありえない。
管理者サイトもしくは管理者アカウントやられた、もしくはログイン後の機能に脆弱性があってSQLインジェクションやられたとか権限奪取されたとか。
本当にリスト型だったのかはきちんと調べて欲しい。 夜中にパスワードリセットの連絡が来てた
俺のは不正ログインはされてなかった模様 >>167
それくらいなら名簿の転売でとっくにダダ漏れだろうからな
べつにいいわ >>119
どうして不正アクセスないってわかったの?
最終ログイン時間がわかるとか? エンからのメールに書いてある
ただ、向こうがそう言っているだけだから本当になかったかどうかは保証なし >>123
なるほど…。
攻撃された期間内でログイン履歴があった人は可能性あり、
ログイン履歴のない放置してた人は可能性なし、かね。
ログイン元IPの規則性とかなどなど。 いわゆる「不正アクセス」も人間からパスワードを聞き出すっての以外の、技術的に侵入するというのは解禁した方がいいんじゃないか
パズル的にセキュリティ突破をする人間に自由にやらせて、穴を見つけたら賞金いくらってやったほうが穴を潰せそう >>114
そこで言う登録者というのはいわゆる利用者のことでしょ。
IDとパスワードが割れたペアのうち、使い回されかつここに登録されていたものが 25万件あるというのは信じがたいよ。
つまり利用者じゃなく、企業側とか管理アカウントがやられてるんじゃないの、ってこと。
絶対何か誤魔化してるよ。 そんだけ抜かれるとはDB管理者権限レベルでやられたのだろ?
普通にワンタイムパスワードくらいあるだろ
いくらなんでもよ、IDとパスワードだけとか、そんな馬鹿なことしてたの? どうせQuoカードすら送らんだろ
人件費送料含め、ン億円規模の費用がかかるんだから
Youtube等に不正アクセス情報漏洩告知チャンネルでも作って告知義務化させた方がまし
こういう会社は利用者の中でも漏洩してない相手には黙ってるようなクズだから >>114
> >>112
> 同じメアドとパスワードがバレたらヤバいだろ
普通ユーザパスワードを平文で保存しないものだろう
それとも平文で保存やらかしたことまでわかってるの?
クラックされたのはあくまでもエン転職のシステムで
エン転職は明らかに何かを隠してる。 >>128
この前Zurich自動車に漏らされたがQUOカード500円送ってきたわ
つーかQUOカードとかコンビニ行かない人間には糞迷惑だしAmazonギフトコードにでもして欲しいわ >>129
ここで解説してもしゃあないけど。
世の中には平文保存もあればフィッシングで入力データ根こそぎ取られるケースもあるんだよ。
そしてサービスAで使っていたユーザ名(やアドレス)、パスワードを別のサービスBで登録する人がほとんど。
例えばTwitterとLINEで同じとかね。
そうすると片方で取られた時に全部のサービスで使ってるIDやパスワード変えてないと不正アクセスにつかわれる。 >>132
> そしてサービスAで使っていたユーザ名(やアドレス)、パスワードを別のサービスBで登録する人がほとんど。
>
> 例えばTwitterとLINEで同じとかね。
> そうすると片方で取られた時に全部のサービスで使ってるIDやパスワード変えてないと不正アクセスにつかわれる。
そんなわかりきったことを
いまさらとうとうと語られても、、、、、 昔の住所で登録してるかな
俺の素晴らしいキャリアが晒されるw >>133
お前が何も分かってないから説明されてるんだろw
>>114も理解できないガイジよ >>132
横だけど、それが25万件もあるか?って話じゃん?
しかも試行して成功したのが25万件って話だとして、リスト攻撃でやってヒット率50%ですら50万件、
実際には良くて10%だろうから、じゃあ250万件分もリスト用意していたのか、
そんで7日間で250万件だとしてそんな大量アクセスと大量のダウンロードをなぜ早期に検出出来なかったのか、とか。
例えば監視対象でないユーザアクセス以外の経路で、直接ユーザデータに触れる箇所に入られて、
25万件入ってるところに触れられた形跡があるというなら、リスト攻撃だと言うのは違うよねって話かと。 >>137 転職サイトの仕組みとして転職先は自分の会社に応募してきた人の履歴書は見れるだろうから
×求人者のID/PSSS ではなくて
〇募集会社のID/PASS
なら大きな会社なら数アカウントで23年間で25万件ぐらい行くんじゃないかな? >>141
それはそうだけど、その対応として求職者側のID/PASS変更が対策になるかね。 >>142 25万件の漏洩にたどり着く前にいろんなパターンを想定して
とりあえずパス変更を一斉に行ったのかもね
まだ出ている情報だけでは、良くわからない
今回、個人情報の中でも機微に類する普通の個人情報の10倍ともいわれる重度の漏洩なので
エン・ジャパンの対応が気になりますね
クレジットカードの情報よりも重大な機密レベル・・・ さてどうなることやら >>137
君はハッカーか何か?
50%とか10%とかやり方とか
全部君の妄想だろ >>131
アフラックは手紙しか送ってこないぞww
証券番号と名字をお漏らししただけだから大丈夫って、全然大丈夫じゃないw まずねエン転なんてニッチなサイトで25万件もヒットするリストもってたら
Amazonで買い物するだろw
最終的に金が目的なんだから 登録してるのがバレただけで立場が悪くなる人いるんじゃないの >>146 ニッチなのか?
>エン転職は900万人を超える会員数を保有し~ >>145
ソースネクストの場合は知らない間にカードが無効になってた
むこうが負担したのはカード再発行手数料のみ 昔もこんな事件あったよ
登録者のデータが闇で売られたんだよ
顔写真付きで学歴や自宅住所や電話まで全部載ってるから買った人達は好みの女性を選び放題で
色んな登録女性の家にストーカーみたいな男がやって来る事件が相次いで裁判になってた 中学の頃、教師からの評価を良くしたかったのと、ケミカルな雰囲気が格好いいと思い込んで理科室の手伝いを良くしていた。(といってもゴム栓に穴をあけたり、ビーカーを掃除したりする程度)
でも当時の俺は、自分がだんだん子供ながら天才的な化学の知識を持つすごい奴だと勘違いし始め、ある日友人を無理やり誘って理科室に忍び込んだ。
そこで適当な物質(っつっても多分ふっとう石とか)を指で触りながら
「へえ…○○先生もなかなか良い物を仕入れて来るんだな。」
とか言ってたり、
適当な薬品の入った瓶を傾けて
「ははっ。ちょっと調合の具合がおかしいかな。ま、授業用には十分か。」
とかほざいてた。
友人は当然ハァ?って感じ。
それでも俺はおかまいなしに「ふん。」とか「ははっ!」とかやってた。
そんで一番奥の戸棚を開けて急に表情を変え、「!!これは!○○先生!いったい…!なんて物を!何をしようとしてるんだ!」
って言ってみせた。友人も驚いて「それそんなヤバイの?」って聞いてきた。
俺は「こんなの黒の教科書の挿絵でしかみたことないぜ…!
それなら、もしかしてこっちの瓶は!?」って別の瓶を手に取って嗅いだ。
そしたら、それはなんか刺激臭を発する化学物質だったらしく、
(手であおいで嗅がなきゃいけない奴)直嗅ぎした俺は
「エンッ!!!」って叫んで鼻血を勢いよく噴出しながら倒れ、友人に保健室に運ばれた。
俺は助かったが、どうやら俺の友人が変な勘違いをしたらしく、
「××(俺の名前)は黒の教科書に乗ってる毒物に感染したんです!!」ってふれまわっていた。
それ以来俺のあだ名は毒物くんになった。当然もう理科室に行く事は無くなった。 選考が進むと企業の採用担当者が個人情報を持つから、その人の単純なヒューマンエラーで情報流出は簡単に起きる
自分のメアドにまったく関係のない人の履歴書その他一次面接の評価にまでもろもろが送られて来たことが2回ある
どちらも面接担当者に送るべきところを宛先の入力ミスで自分に送られたらしい
もちろん報告したけど社内でうやむやにされて揉み消し状態だった 意外ととidは漏れてもいいものって知らない人多いよね
まぁ、漏れるの自体だめなんだけど、パスワードとどうとうに守られてるかとか こんな所を使って転職する奴って使い物にならないだろ
そんなゴミみたいな個人情報取ってどうすんの >>2
ウンコリアンが虎視眈々と狙ってるもんな
まず寄生虫在日ウンコリアンの排除から始めないとな 退会した人の個人情報消してなくて、退会したから連絡来なかったみたいな話前なかったっけ >>157
> ハロワ勢の俺に隙はなかった
中国の下請けの孫請けの親戚の知人が管理してるよ >>128
送る気すらないだろうけどQuoカード500エンぽっちでゴメンねじゃ割に合わないんだよ
普通の会員情報のおもらしとは段違い
氏名住所生年月日住所電話番号メアドに購入履歴ぐらいならともかく
顔写真学歴職歴年収とかクリティカルなものがたくさん含まれている
もしSNSのIDも登録してたらどんな行動してきたか今なにをしてるか等がバレるばかりか
入手した情報から類推して不正ログインも十分可能だろう
独身で学校や会社にいる時間帯なら簡単に空き巣に入れるしな ■ このスレッドは過去ログ倉庫に格納されています