インドの音楽ストリーミングプラットフォームRaagaは、2025年12月に人気のハッキングフォーラムで機微なユーザーデータが販売目的で投稿されたことを受け、重大な サイバーセキュリティ インシデントの最新の被害者となりました。
この侵害により1,000万人を超えるユーザーの個人情報が露出し、アカウントの安全性やなりすまし被害のリスクに関して深刻な懸念が高まっています。
侵害されたデータベースには、約1,020万件のユニークなメールアドレスに加え、さまざまな個人を特定できる情報が含まれています。
侵害の開示報告によると、脅威アクターがRaagaのシステムに不正アクセスしました。
彼らは機微なユーザー記録を抽出し、その後、地下のサイバー犯罪者マーケットプレイスで販売に出しました。
露出したデータセットには、ユーザー名、性別情報、年齢データ、そして一部では生年月日の完全な情報が含まれています。
さらに、郵便番号などの地理的位置情報も侵害され、ユーザーパスワードはソルトなしのMD5 ハッシュとして保存されていました。これは、セキュリティ専門家が現代の計算技術で容易にクラック可能だとして非常に脆弱とみなす、非推奨の暗号方式です。
ソルトなしのMD5によるパスワードハッシュ化の使用は、重大なセキュリティ脆弱性を意味します。
MD5は旧式のハッシュアルゴリズムであり、レインボーテーブル攻撃やブルートフォース復号に弱いことから、10年以上にわたりセキュリティ専門家によって広く使用が推奨されていません。
ソルトなしの実装では、攻撃者が事前計算されたハッシュデータベースを用いてユーザー認証情報を効率的にリバースエンジニアリングできるため、パスワードのクラックが著しく容易になります。
このパスワード保存手法は、Raagaのデータ保護インフラに潜在的な不備があることを示唆しています。
また、同プラットフォームが現代のサイバーセキュリティ標準にどの程度準拠しているのかという疑問も生じます。複数のオンラインサービスでパスワードを使い回しているユーザーは、侵害されたログイン情報が他のプラットフォームに対して体系的に試行されるクレデンシャル・スタッフィング攻撃のリスクが高まります。
セキュリティ研究者は、すべての Raagaユーザー に対し、直ちに防御措置を取るよう助言しています。ユーザーはRaagaのパスワードを 直ちに 変更し、同じパスワードを使用している他のアカウントの認証情報も更新すべきです。
利用可能な場合はどこでも二要素認証を実装することで、パスワードが侵害されていても不正アクセスを防げる重要なセキュリティ層が追加されます。
サイバーセキュリティ専門家は、各オンラインアカウントごとに強力で一意のパスワードを生成・保存するためにパスワードマネージャーの採用を推奨しています。
これらのツールはパスワード使い回しの脆弱性を排除し、認証情報に基づく攻撃のリスクを大幅に低減します。これはhaveibeenpwnedによって 報告 されています。
ユーザーはまた、不審な活動がないかメールアドレスを監視し、盗まれた情報を悪用する可能性のあるフィッシングの試みに対して警戒を怠らないようにすべきです。
このインシデントは、ますます高度化するサイバー脅威からユーザーデータを保護するうえで、デジタルサービス提供者が直面している継続的な課題を浮き彫りにしています。
翻訳元: https://gbhackers.com/raaga-confirms-major-data-breach/
