昨日BitZenyオンラインウォレットから「BitZenyオンラインウォレットより緊急のご連絡」というメールが来た。
******** 様
お客様のIDとパスワードの組み合わせが流出している可能性があり、パスワード変更をお願いいたします。
不正な送信を防ぐため、パスワードを変更するまで送信ができないようにしています。パスワード変更後に送信できる状態になります。ログイン時にアカウントがロックされていてログインできない人は、本メールを返信ください。ロックを解除いたします。
詳細につきましては現在調査中です。
※メール確認が済んでいない方にもお送りしています。
BitZenyオンラインウォレットをご利用でない方はお知らせください。
今日まで出張中だったので、やっと帰ってきてログインのロック解除申請メールを送ったところ。
ただ、もうあきらめムードでは有る・・・というのも、2通目のメール内容がこれ。
******** 様
「BitZeny WALLETより追加のお願い」
調査の結果、現状パスワードを変えて頂いていますが、それでも対策が不十分で、一旦ウォレット内のコインを早急に別のウォレットへ移していただくことが必要という判断に至りました。対象となるのは全ユーザーではなく、下記の問題が発生した一部のユーザーです。
該当しているユーザーに本メールをお送りしています。
流出経路は未だに分かっていませんが、コインを不正に送信されているユーザーを調べたところ、何らかの原因で、過去に生のパスワードをサーバーへ送信してしまったことのあるユーザーであることが分かりました。
当オンラインウォレットでは生のパスワードをサーバーに送信しない仕様で安全を確保していたのですが、何かしらのブラウザ側の挙動か、タイミングかで一部のユーザーのみ生のパスワードをサーバーへ送信してしまう現象が稀に発生していたようです。本来サーバー側で受け取るはずのないデータなのですが、調査したところその情報がサーバーに記録されていました。
そのため、ブラウザだけでなく、ネットワーク経路やサイトから流出した可能性も考えられます。ニーモニックが流出していたとすると、ある日突然コインが移動されることになってしまいます。コインがまだ残っているユーザーは早急にウォレット内のコインを別のウォレットへ送信し、今お使いのアカウントを今後一切使わないようにしてください。
とりあえずログインすると、残高は残っていた。
対策として、パスワード変更後、もにゃかBitZeny Coreに移動しないといけない・・・
あと、マイニングのコマンドIDも変更して再開です。