仮想通貨取引所「Poloniex(ポロニエックス)」は、2020年1月3日のブログ投稿で”先日漏洩したと報告されていたメールアドレス・パスワード情報は同社から漏洩したものではない”ということを正式に発表しました。
こちらから読む:ベネズエラのバーガーキング、DASH決済に対応「仮想通貨」関連ニュース
「Poloniexからの流出ではない」と報告
Poloniex(ポロニエックス)は、昨年末に”同取引所へのログインに使用できる”とされたメールアドレス・パスワード情報がTwitter上で拡散されたことを受けて、一部のユーザーに対してメールを送り「パスワード強制リセット」などの告知を行なっていました。
その後改めて詳細な調査を行なった同社は、2020年1月3日に「Poloniexからデータは漏洩しておらず、一部の顧客にパスワード変更を求めたメールは”データ漏洩”を指摘したツイートに緊急対応しただけだ」と報告しました。
Poloniexの調査報告によると、今回流出したリストに記載されていたパスワードの約90%は”悪用されたデータリスト”を掲載している「haveibeenpwned.com」上ですでに公開されているものだったとされており、同社は現在「haveibeenpwned.com」に対して”データベースを更新し、特定した欠落情報を追加するように”と要求していると報告されています。
また「Poloniexのアカウントをすでに持っていて、今回の騒動に伴うメールを受信していないユーザーのメールアドレスはリストには記載されていない」とも報告されています。なお「Twitterに投稿されたメールアドレスのうち、ポロニエックスのアカウントに関連づけられていたメールアドレスは”5%未満”だった」と説明されています。
そのため、今回の件でPoloniexから直接メールを受け取っていないユーザーのメールアドレスは”安全である”と判断することができると考えられます。しかし、メールを受け取ったユーザーは何らかの理由で該当メールアドレスが流出している可能性があるため注意が必要です。
なお「Poloniex」でユーザーパスワードなどの機密情報を保存する際には、簡単なテキストや復元可能な形式などでは保存せずに「bcryptハッシュ値」として安全に保存しているとも報告されています。
