Tokopediaのユーザーデータ漏えい：危険性と保護方法

ジャカルタ-インドネシア最大のeコマースサイトであるTokopediaのユーザーに関する数千万件のデータが漏洩しました。これは確かに、金融アクセスのハッキングを含むユーザーデータのセキュリティを脅かします。さらに悪いことに、データのハッキングは他のマーケットプレイスアカウントやソーシャルメディアに広がる可能性があります。

当初、サービスプロバイダー@underthebreachを監視するためのTwitterアカウントは、約9,100万のユーザーアカウントと700万のTokopediaマーチャントアカウントがハッキングされたと報告しました。その数は、2019年のTokopediaユーザー数に関するデータレポートとまったく同じです。これは、ほとんどすべてのマーケットプレイスアカウントデータがハッキングされたことを意味します。

俳優は、eコマースを専門とするインドネシアの大手テクノロジー企業であるTokopediaのデータベースをリークしました。 （@ Tokopedia）-ハッキングは2020年3月に発生し、1500万人のユーザーに影響を及ぼしましたが、ハッカーはもっとたくさんあると言いました。-データベースにはメール、パスワードハッシュ、名前が含まれていますpic.twitter.com/CZTYImj6jA

-違反中🦠（違反中）2020年5月2日

ハッカーは、データのコピーを入手したZDNetによると、フルネーム、電子メール、電話番号、ハッシュパスワード（暗号化されたまま）、生年月日、およびTokopediaプロファイルに関する詳細を含むデータをダークウェブで販売します。すべて5,000米ドル、つまり約7400万ルピアの価格で販売されています。

サイバーセキュリティの専門家であるPratamaPersadhaは、Whysodankという名前のハッカーが5月2日土曜日にフォーラムで最初に自分の作品を公開したと説明しました。そこから、Twitterアカウント@underthebreachがソースを取得しました。

他のアカウントを脅かす

パスワードデータはまだ暗号化されていますが、インドネシアサイバー研究所の所長であるCISSReC Pratama Persadhaは、誰かがパスワードデータを開くことができるのは時間の問題だと述べました。

「そのため、加害者は数百万の無料アカウントを共有して、ランダムなパスワードを解読することができたある種の遊びを作成したいと考えています」と彼は記者団に語った。

プラタマ氏は、すべてのハッカーがデータを使用してフィッシングリンクの送信などの詐欺を犯す可能性があると説明しました。そこから、ハッカーはアカウントを乗っ取ることができます。

さらに悪いことに、パスワードが正常に開かれると、ハッカーはソーシャルメディアアカウントやその他の市場に忍び込む可能性があります。 「すべてのプラットフォームで同じパスワードを使用する習慣があるためです」とPramata氏は述べています。

したがって、プラタマ氏は、トコペディアがこの事件の責任を負わなければならないと述べた。その理由は、取引されるまでもユーザーデータのセキュリティが脅かされているためです。

ハッキングに成功したデータからは、クレジットカードやデビットカードなどの財務データはありません。うまくいけば、このデータは正常にハッキングされません。

この問題を解決するために、Tokopediaはユーザーがしなければならないことを社会化する義務があります。 Tokopediaアカウントのパスワードを変更し、セキュリティの第2層、つまりOTPまたはワンタイムパスワードをアクティブにする必要があります。

OTPは、ユーザーがそのアカウントで実行するアクティビティを検証できるパスワードです。仕組みOTPはSMS経由でパスワードを送信します。その後、コードは関連するアカウントに入力され、ショッピングなどの特定のアクティビティが続行されます。