何が起こったのか？

2019年11月8日の早朝、当サイトに対する悪意ある第三者の疑わしい活動に気づいた。当サイトのレガシー・コードベースのセキュリティ上の不具合を利用して、旧ユーザーサービスから少数のユーザーレコードにアクセスしたことがログによって確認された。

セキュリティ対策として、セキュリティ上のある一定の不具合を発見してすぐにエンドポイントを保護することができたものの、電子メールアドレス、パスワードハッシュ、パスワードソルトなどの他のユーザーデータへのさらなるアクセスを完全に排除できないため、すべてのユーザーに通知することにした。

僕たちはすぐに状況の是正に取り組み、そのプロセスの一環として、長期計画にあった新ユーザーサービス (和訳)のリリース日程を早め、旧ユーザーサービスを使ったユーザーデータの取得やその他潜在的な悪用ができないようにした。この手順によって、新しいパスワードがより適切に保護するのはもちろん、旧ユーザーサービスより取得された可能性のある暗号化パスワードが古くて使えないことを確かなものにした。

さらに、法律で義務付けられている通り、この事案はICOに届け出済みであり、引き続き問題に関連する義務を遂行中である。

ユーザーはどうするべきか？

2019年11月8日に疑わしい活動について気づいたものの、ログには過去の活動に関する証拠はなく、不具合が以前に利用されたかどうかを確実に判断することはできない。従って、もし利用されたとしても、どれだけの数の電子メールアドレス、パスワードハッシュ、パスワードソルトにアクセスされたのかを確かめることはできない。

全ユーザーに対する当サイトの義務を認識したうえで、みんなにはフィッシング詐欺やクレデンシャルスタッフィング攻撃（流出したパスワードを使って様々なサイトに自動総当たり不正アクセスを試みること）に警戒するよう、強くお勧めしたい。

一般的な推奨事項

• まだ新ユーザーサービスに移行していない場合、一度ログアウトしてログインしなおしてアカウントを更新し、パスワードを変更すること。既に新ユーザーサービスを使っている場合は、再びパスワードを変更する必要はない。
• 旧ユーザーサービスで使っていたのと同じパスワードを他のサイトでも使っている場合、できるだけ早く他のサイトのパスワードを変更すること。
• パスワードマネージャーを利用して、複数のサイトで同じパスワードを使わないことを強くお勧めする。
• 利用するサービス毎に12文字以上の一意で強力なパスワードを常に使うこと。
• 特にMOD制作者の場合、2要素認証の利用を検討すること。

以上

→ その他のNexus Modsニュース和訳はこちら