Impervaデータ侵害でスクランブルされたパスワードが公開された
時々、不幸な出来事は、私たちに何か新しいことを学ぶことを強いることがあります。結局のところ、私たち全員が間違いから学ぶのではないでしょうか?今日、私たちはImpervaの間違いから学ぶことができます。
Impervaは、カリフォルニア州レッドウッドショアーズに拠点を置くサイバーセキュリティソフトウェア会社です。この会社は、クライアントにエンタープライズデータの保護を提供します。クライアントはImpervaからインターネットファイアウォールサービスを購入して、サイバー攻撃やその他の悪意のあるサイバー活動を防ぎます。
残念ながら、Imperva は 8月にデータ侵害を経験し、このデータ侵害が何千もの顧客に影響を及ぼしたと発表しました。レポートによると、この違反中にAPIキー、電子メールアドレス、SSL証明書、および複数のスクランブルされたパスワードが公開されました。
このデータ侵害について議論する複数の側面があります。特に、サイバーセキュリティを扱う会社が影響を受けたという事実を考慮する場合はそうです。ただし、今回は、問題の概要を簡単に説明し、次に公開されたスクランブルされたパスワードに焦点を当てます。スクランブルされたパスワードとは何か疑問に思ったことはありますか?
Impervaはどうなりましたか?
前述のように、Impervaはクライアントのデータをハッカーにさらすデータ侵害を経験しました。内部システムにインターネットからアクセスできるため、インシデント全体が過失の結果であるようです。インターネットからアクセス可能なシステムには、ImpervaのAWS APIキーのコピーが保存されていました。
さて、それは何ですか? AWSは、クラウドコンピューティングプラットフォームの提供を専門とするAmazonの子会社であるAmazon Web Servicesを指します。 APIキーとは、アプリケーションプログラミングインターフェイス(API)キーを意味します。これは、システムがAPIに到達しようとするユーザーまたはプログラムを認証できるようにする一意の識別子です。同様に、APIはクライアントとサーバー間の通信プロトコルです。クラウドプラットフォーム、オペレーティングシステム、ハードウェアなどに基づいたシステムでもかまいません。 APIキーが盗まれたため、ハッカーは外部からImpervaのシステムにアクセスできました。
サイバーセキュリティレポーターは、Imperva は最初はデータ侵害に気付いていなかったと信じており、数か月後、ハッカーがクラウドプラットフォームでリレーショナルデータベースサービス(RDS)を評価するために使用されるデータベーススナップショットのコピーをダウンロードしたことを知りました。どういう意味ですか?これは、ハッカーがスナップショット内にあるデータを盗むことができ、スナップショットが取られた後に作成されたデータが侵害の影響を受けなかったことを意味します。
全体として、同社はデータ侵害の影響を受けた顧客の数を明示的に述べていませんでした。ただし、13,000を超えるパスワードと13,000のSSL証明書は、影響を受ける顧客に通知された後に変更およびローテーションされました。したがって、インシデントの範囲を多かれ少なかれ把握するのは簡単です。
スクランブルパスワードとは何ですか?
侵害の一般的な概要は完了したので、公開および漏洩されたデータのタイプの1つを詳しく見ることができます。ここでは、スクランブルされたパスワードについて説明しています。 「スクランブル」という言葉を聞くと、おそらく人気のあるオンラインゲームやスクランブルエッグについて考えるでしょうが、パスワードをスクランブルすることもできます。
パスワードスクランブリングは、それらを安全に保存し、強化する方法の1つです。. たとえば、 Cyclonis Password Managerは、パスワードスクランブリングを使用して、顧客のパスワードをボールトに保存します。パスワードマネージャーの場合、暗号化を使用して保存されたパスワードをスクランブルします。ただし、パスワードを保護する他の方法があり、Impervaデータ侵害に関する情報は、公開されたスクランブルされたパスワードがハッシュおよびソルトされたことを示唆しています。
それは一体何を意味するのでしょうか?解読キーがあれば、暗号化されたものを解読できることをご存じでしょう。一方、ハッシュは、スクランブルされたデータをデコードできないことを意味します。また、ハッシュするデータ文字列の種類に関係なく、出力の長さは常に固定されます。つまり、あなたがスクランブルするのが私がリンゴを愛するのか、 私は雨が嫌いなのか、離れてください 、最終出力の長さは同じになります(同じアルゴリズムを使用してハッシュする場合)。
ハッシュは逆の方法では機能しませんが、同じアルゴリズムで文字列をスクランブルすると同じ出力が生成されるため、アクセスの確認と認証に使用できます。たとえば、データベースがハッシュされたパスワードを保存し、誰かがデータベースに入るためにプレーンテキストパスワードを入力した場合、システムはプレーンテキストパスワードをハッシュするために同じアルゴリズムを適用する必要があります。ハッシュ値がデータベースに保存されている値と一致する場合、認証が許可されます。また、ハッシュ化されたパスワードを解読するのは非常に難しく、それを行う唯一の方法は、総当たり攻撃です。
塩漬けが適用されている場合、それをクラックすることはさらに困難です。サイバーセキュリティでは、ソルトはパスワードに追加されるランダムなデータ値を指します。ユーザーにはその値が表示されませんが、セキュリティを強化するためにコンピューターシステム内のパスワードに付加されます。言い換えると、パスワードはプレーンテキストでは保持されません。これはひどいデータ侵害につながるからです。
システム内では、ソルト値はランダムに生成されます。これはプレーンテキストのパスワードに追加され、通常は文字列全体がハッシュされます(上記の説明を参照)。同じパスワードで異なるソルト値を使用すると、ハッシュ値が完全に異なるため、パスワードにソルトを振りかける(形容的に)と、パスワードはより強力になります。
このことから、スクランブルされたパスワードを盗むことは、ハッカーがそれらをブルートフォースする手段を持っている場合にのみ有益であるという仮定を立てることができます。もちろん、このような可能性は常に存在するため、Impervaは顧客にパスワードの変更を促しました。ただし、スクランブルされたパスワードを盗むことは、キーを持たない金庫を盗むことと実質的に同じであると言うこともできます。データ侵害の事実を変えることはありませんが、少なくともそこには銀の裏地が少しあります。