「危険なパスワード一覧」から自身のパスワードをこっそり削除したことがバレて逆に世界一有名なパスワードが爆誕

by Damian Patkowski

「SecLists」はセキュリティアセスメントに役立つ複数種類のデータをリストとしてまとめたもので、ハッキングの危険性が高いユーザー名・パスワード・URL・機密データなどが含まれたリストです。このリストに自身の使っているパスワードが含まれていることを発見したユーザーがこっそり自身のものだけ削除したところ、他のユーザーに改変内容が見つかってしまい、総ツッコミを受けるハメになっています。

Projects/OWASP SecLists Project - OWASP
https://www.owasp.org/index.php/Projects/OWASP_SecLists_Project

SecListsのリストはGitHub上で公開されているので、インターネット上から誰でも簡単にアクセス可能なデータとなっています。

GitHub - danielmiessler/SecLists

そんなSecListsのGitHubページに、ひとつのコメントが投稿されます。コメントを投稿したのはソフトウェアエンジニアのAssaf Nativ(@assafnativ)さん。投稿したコメントは「リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ」というもの。

このコメントに対して多くのユーザーが反応しており、コメント欄は大喜利状態に発展しています。

mitcomというユーザーは「@assafnativさん、ファイル名をアップデートするのを忘れないで下さい。10_million_password_list_top_1000.txt(SecListsのひとつである頻繁に使用されるパスワードトップ1000をまとめたリスト)は正しくなくなっていて、999個のパスワードしか記載されていないよ」とコメント。これは、「10_million_password_list_top_1000.txt」の更新情報の差分から@assafnativさんがリストから自身のパスワード(dolphins)を削除したことを指摘する内容です。

「パスワードを『dolphins』に変更するんだ！今『dolphins』は安全だぞ！」

「私のパスワードの『hunter2』は安全だわ」

「僕のパスワードの『thisissparta』は安全？？？」

「@assafnativさんは僕と同じパスワードなの？」

「『Password/unhackable_passwords.txt(ハッキング不可能なパスワード)』ファイルを作って『dolphins』をその中に入れよう」

「『12345』は消すべきだ。こんな馬鹿なパスワードはお荷物以外の何物でもないし、明らかに使われていないし、安全じゃないことが知られてるんだからテストの時間の無駄だね」

画像を使って@assafnativさんをイジる人も。

「『dolphins』をリストから削除したら代わりに『thanks for all the fish(いままで魚をありがとう)』を追加しておいてね」

「これまでで最高のパッチだ」

「今、世界が君のパスワードを知った」

「2017年で最も優れた削除申請だ」

「もしも自分のパスワードを変更したくないなら世界を変えるしかないね」

「僕も同じような問題に直面しています。自分の使っているパスワードは『qwe123』なのですが、なぜかよくハッキングされてしまうんです。そこで、このリストから僕のパスワードも消してもらえませんか？

「dolphins」は期せずして多くのユーザーの知るところとなってしまったので、同じパスワードを使っているという人は早めに変更した方が良さそうです。