Bitcoin専用ポーカーサイトから約4万2000人分のパスワードが流出

By BTC Keychain

コンピューターから採掘して入手する仮想通貨「Bitcoin(ビットコイン)」は、決済手数料が安く簡単に送受信できることから日増しに人気が高まり、中国ではビットコインを利用した金融サービスが規制される事態にまで発展しています。ビットコインの人気に伴い、ビットコイン専用のオンラインポーカーサイトまで登場しましたが、脆弱なハッシュアルゴリズムを使用していた結果、ユーザー約4万2000人分のパスワードが漏れてしまっています。

Manditory Password Reset | Seals with Clubs
https://sealswithclubs.eu/manditory-password-reset/

Bitcoin-only poker site resets user credentials after 42,000 passwords leak | Ars Technica
http://arstechnica.com/security/2013/12/bitcoin-only-poker-site-resets-user-credentials-after-42000-passwords-leak/

2013年12月18日、InsidePro Password Recovery Softwareのフォーラムに、StacyMというユーザーがハッシュデータのリストを添付したメッセージを投稿。投稿から約9分後、他のユーザーがハッシュデータから1000個のパスワードの復元に成功し、その後もパスワードは復元され続け24時間でハッシュデータリストの約3分の2のパスワードが復元されてしまいます。

StacyMが投稿したデータから復元されたパスワードは、当初ソースが不明でしたが、「sealswithclubs」「88seals88」「bitcoin1000000」「pokerseals」など、オンラインポーカーサイトのSeals with Clubsで使用されているものの可能性が高いことが判明。事の重大さに気づいたSeals with Clubsのセキュリティ専門家がすぐに検証したところ、約4万2000人分のパスワード漏洩が発覚しました。

Seals with Clubsは、漏洩発覚翌日の2013年12月19日に、ユーザーに対してパスワード漏洩があったことを認め「次回ログイン時にはパスワードの変更が必要」と通知しています。

Ars Technicaによると、Seals with Clubsのセキュリティチームが使用していたハッシュアルゴリズムは、SHA1と呼ばれる、パスワードのハッシュには弱すぎるアルゴリズムだったとのこと。SHA1は最小限の計算でかなり早くクラックできるため、パスワードに使用することはほとんどタブーとされているそうです。

Seals with Clubsは、ログインに2つの認証方式を併用して精度を高めた2ファクタ認証を採用することを発表していますが、何よりも先にSHA1から強靱なアルゴリズムのハッシュに変更するべきではないか、と指摘されています。