仮想通貨XRPウォレットでハッキング被害｜220万ウォレットに被害

仮想通貨XRPウォレットでハッキング被害｜220万ウォレットに被害

Have I Been Pwnedのセキュリティ研究者であるTroy Hunt氏は、仮想通貨XRP向けウォレットサービスGateHub（ゲートハブ）とゲームプロバイダの2つのウェブサイトから、220万人以上のパスワードとアカウントが流出していることを明らかにした。Have I Been Pwnedとは、インターネットを利用するユーザーが、個人データが流出しているかどうかをチェックできるサイトである。

2つのウェブサイトのうち1つは、リップル向けの仮想通貨ウォレットサービス「GateHub」で、約140万人分のアカウント情報が流出している。また、ゲームサイトの方はRuneScape（MMORPG）の「EpicBot」というプロバイダであり、こちらからは約80万人分のアカウントが流出している。データベースにはハッシュ化関数のbcryptで暗号化されたメールアドレスやパスワードが含まれており、解読は困難とされている。

一部では、流出したデータには2要素認証キー、ニーモニックフレーズ、ウォレットハッシュも含まれていると指摘する声も挙がった。GateHubの担当者はこの点に関して、ウォレットハッシュは流出していないと報告している。

GateHub、2度目のハッキングを受ける

GateHubがハッキングされたのは、今回が初めてではない。今年6月にもレジャーウォレットがハッキングを受けており、合計で2320万XRPが流出している。また、8月には約18000のメールアドレスやパスワードがが流出したとして、注意喚起を促す文書を公開している。この時には被害を受けたアカウントにそれぞれ通知を行い、7月に再暗号化することでセキュリティを持ち直そうとした。

今回被害を受けたアカウント数は約140万人であり、前回よりもさらに多くの顧客情報が流出していることになる。GateHubは今回のハッキングを受けて、これらの攻撃に対応するべき効果的な手段は、7月に導入した再暗号化を実施することだと述べている。いっぽうで、前回のハッキングからほどなくして再び攻撃を受けたセキュリティの脆さに関しては言及していない。