今度は2000万件

約2000万件の個人情報とパスワードを含む情報が無料で公開されました。
このデータは犯罪者が2020年11月に盗んでいたもので、すでになんらかの販売は行われていたようです。
そしてもう買い手がなくなったのでしょうか、データが無料で公開されたのです。

データには、メールアドレス、SHA1ハッシュパスワード、住所、電話番号、などが含まれていたようです。
公開されたのはSHA1ハッシュなので、そのままのパスワードが公開されたわけではないのですが、2000万件のうちの200万件についてはすでに解読できていると言っているようです。
SHA1はそこまで弱いハッシュではないと思います。普通に計算でこれを実現することは現実的ではないと思います。
しかし70万件のデータのパスワードは「password」だったと言っていますので、こういった辞書にある単語を単純にパスワードとして使っているアカウントがたくさんあった、ということなのかもしれません。

システムでソルトが組み合わせられていない場合、こういった単純なパスワードはどんなに高度なハッシュアルゴリズムを使っていたとしてもレインボーテーブルなどの手法を使うことで簡単に元のパスワードがわかってしまいます。

自分が利用しているシステムそのものが侵害されてしまうケースを考える場合、個人の努力では自分のアカウント情報を十分に守ることはできないと思います。
そう考えると、こうなった場合にいかにして被害を大きくしないか、という発想が重要なんだと思います。
いろいろなシステムで共通のユーザ名やパスワードを使っていると、漏洩した際の被害が大きくなりますし、対応も大変です。
そもそも被害にあったことを知った後で各サイトのパスワードを変更して回るということでは遅すぎるのです。

個人ができることはアカウント登録するすべてのケースで異なるパスワードを使うことで問題を最小化することくらいしかないのかもしれません。

さぁ、信頼できるパスワードマネージャーはどこにありますかね。

参考記事（外部リンク）：Hacker leaks 20 million alleged BigBasket user records for free

www.bleepingcomputer.com/news/security/hacker-leaks-20-million-alleged-bigbasket-user-records-for-free/