2023年8月15日、作品投稿サイト「pictBLand」及び「pictSQUARE」で、ログインメールアドレスやパスワード、氏名や住所などの個人情報の漏えいが発生し、運営する株式会社GMWがX(旧Twitter)で声明を発表しています。
目次
pictBLandとpictSQUAREで個人情報の漏えい問題が発生
2023年8月15日、作品投稿サービス「pictBLand」と、オンライン販売会サービス「pictSQUARE」で、データベースに不正アクセスが発生しました。この不正アクセスによって利用ユーザーの個人情報(メールアドレス、パスワード、振込先口座情報、配送先住所情報)が漏えいした可能性があると発表されています。
【弊社サービスにおける重要なセキュリティ情報とお詫び】
弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。
先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。…
— pictBLand@BL特化SNS (@pictBLand) August 15, 2023
メールアドレスとパスワード、氏名や住所、口座情報が漏えい
pictBLandとpictSQUAREから漏えいした個人情報は、海外のフォーラムに投稿されており、漏えいしたデータには609,000件のメールアドレス、667,000件のパスワード、最大650,000件の電話番号、200,000件の配送先住所、1,000件の口座情報が含まれているとのことです。
なお、このデータは仮想通貨4XMR(日本円で約9万円相当)で3部の販売が予定されており、現時点では既に2部が売却済みとされています。
日本のサービス https://pictsquare.net/ - 言葉を借りれば「オンライン展示会販売サービス」です。
漏えい日2023-08-14
同社はすでに漏えいに気づいており、この出来事に関する日本語のツイートが数千件あります。総行数:801915.
テーブルには
ID
609,000人のユーザー – メール
667,000人のユーザー – パスワード(unsalted MD5、半分は自分で復号化)
ニックネーム
~650,000人のユーザー – 電話番号 + 電話コード + 完全な電話番号
アカウントに表示された最大3つのURL(説明+URL)
20万人のユーザーには、配達情報(個人名、郵便番号、配達先住所、配達先電話番号)があります。
1,000人分のユーザーには、日本の銀行情報があります。
一部のユーザーにはTwitterのID、トークン、トークンの秘密(pictSQUAREでアカウントを認証したため)、アプリの公開/非公開トークンもありますが、これらはすぐに使えなくなると思います。【漏えいした個人情報の一部抜粋】
pictSQUAREはオタク文化に関連したサービスなので、Pixivなどでも同じ認証情報を試すことができます。多くのユーザーがURLでPixiv/Twitter/などを指定しているため、より簡単です。
最大3人までにデータの販売を予定しています。
価格は4XMR。
連絡先:Eメール ●●@●●(推奨)
Telegram:@●●引用:フォーラム(悪用防止のため省略。上記は翻訳文で原文は英語です。)
IDやパスワードを使いまわしている場合はすぐに変更する
今回pictBLandとpictSQUAREから個人情報が漏えいしたことにより、共通のIDやパスワードを使用しているサービスで不正アクセス被害、フィッシング詐欺メールの増加、郵便物や荷物の送り付け詐欺などの懸念があります。
もしpictBLandとpictSQUAREと共通のIDやパスワードを他サービスでも使用している場合は、全てのサービスでパスワードを変更し、被害が発生していないか確認してください。また可能であれば、登録メールアドレスも変更するようにしてください。
身に覚えがない商品、荷物の受け取りに注意する
漏えいした個人情報には、住所情報(氏名、郵便番号、住所、電話番号)が含まれているため、第三者から身に覚えがない商品や荷物が送りつけられる懸念があります。
もし身に覚えがない商品が届いた場合は、営業所もしくは配送品に受け取り拒否の旨を伝え、荷物を受け取らないよう注意してください。また不審な荷物を受けとってしまった場合は、開封前であれば受け取り拒否に変更できる可能性があるため、配送業者に電話で問い合わせるようにしてください。
届いた荷物を開封してしまった場合は、勝手に送りつけられた物である証拠(商品の写真、届いた日時の記録、外箱の写真など)を残した上で、消費者ホットライン「188」に相談するようにしてください。
コメントを投稿する(承認後に反映されます)