セキュリティ

論文購読サービスを提供するエルゼビアが利用者のアカウント情報を公開状態にしていたことが判明

by Blogtrepreneur

世界最大規模の医学・科学技術関係の出版社「エルゼビア」が、サーバー上に利用者のメールアドレスとパスワードを公開状態のまま置いていたことが明らかになりました。原因は「人為的な設定ミス」だとのことです。

Education and Science Giant Elsevier Left Users’ Passwords Exposed Online - Motherboard
https://motherboard.vice.com/en_us/article/vbw8b9/elsevier-user-passwords-exposed-online

エルゼビアは科学系・医療系の学術雑誌を扱う出版社で、ネットでの購読サービスも提供しています。サイバーセキュリティ会社「SpiderSilk」によると、エルゼビアは利用者のメールアドレスやパスワードが含まれた自社サーバーを誰でもアクセス可能な状態にしていたとのこと。SpiderSilkのセキュリティ部門最高責任者であるモサド・ハッサン氏は「利用者の多くは、教育機関が配布する『.edu』ドメインを使う学生や大学の教職員でした。こういった人たちは、他のメールサービスやiCloudでも同じパスワードを使っている可能性があります」と、本件の危険性を指摘しました。

データは可視化プラットフォーム・Kibanaを使って表示することが可能で、実際にニュースサイトのMotherboardがエルゼビアに登録したパスワードを変更すると、新しいパスワードが暗号化されていない平文の状態でサーバー上に公開されたことを確認できたそうです。

By stokkete

この問題についてはSpiderSilkからエルゼビアに情報提供が行われ、すでにサーバーは保護状態に移行しています。Motherboardによると、エルゼビアは「原因は現在調査中ですが、人為的ミスによりサーバーの設定が間違っていた可能性があります。また、利用者にアカウントの再設定を促すメールを送信する予定です」とコメントしたとのこと。

ちなみに、エルゼビアの論文購読サービスを巡っては、購読料の高さを嫌って契約を打ち切る大学や、値下げ要求をする大学が出ています。

高額すぎる購読料を嫌ってエルゼビアなどとの論文購読契約を打ち切る大学が続出 - GIGAZINE


5年で57億円かかるエルゼビアの論文閲覧システムの契約交渉で大学側が値下げを要求 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
科学論文を出版するエルゼビアとの購読契約を完全に打ち切ったとカリフォルニア大学が発表 - GIGAZINE

出版社「エルゼビア」が抱える学術誌の編集者が一斉に辞職、新しくオープンアクセスジャーナルを立ち上げることに - GIGAZINE

5年で57億円かかるエルゼビアの論文閲覧システムの契約交渉で大学側が値下げを要求 - GIGAZINE

高額すぎる購読料を嫌ってエルゼビアなどとの論文購読契約を打ち切る大学が続出 - GIGAZINE

論文海賊版サイト「Sci-Hub」のブロッキングを命じられたISPが訴えた出版社もブロッキングして抗議 - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.