Tumblrでメールアドレスとパスワードが流出

福田です。本日、一件のメールが届きました。なんとその内容は、Tumblrから暗号化されていないメールアドレスと暗号化(Hash&Salt)されたパスワードが流出したということでした。今回は該当投稿の和訳とともに、推奨される対応などをおしらせします。

和訳

一部意訳です。英訳は細心の注意を払ったつもりですが、間違いがございましたらおしらせください。
カッコ内は訳注などです。

We recently learned that a third party had obtained access to a set of Tumblr user email addresses with salted and hashed passwords from early 2013, prior to the acquisition of Tumblr by Yahoo. As soon as we became aware of this, our security team thoroughly investigated the matter. Our analysis gives us no reason to believe that this information was used to access Tumblr accounts. As a precaution, however, we will be requiring affected Tumblr users to set a new password.
For additional information on keeping your accounts secure, please visit our Account Security page.

May 12th, 2016

私たちは最近、第三者によりTumblrのユーザーのEメールアドレスとともに(SHA-1により)暗号化されたパスワードが2013年上半期(2013年2月28日~)YahooにTumblrが買収される以前より(65,469,298件のアカウント情報に)アクセスされていたことが判明しました。なるべく早く私たちはこのことに気がつくべきでした。ですが私たちのセキュリティーチームはこの事象について調査することなく現時点まで来てしまいました。私たちは、これらの流出した情報によってTumblrアカウントに不正なアクセスが行なわれることはないと考えています。しかし念のため、私たちは流出の影響を受けたTumblrユーザーに新しいパスワードに変更することを必須とすることとします。
また、あなたのアカウントを安全な状態に保ちたいのであれば、アカウントセキュリティーページにアクセスしてください。

2016年5月12日

とのことです。

対策

Tumblrの公式でもうすでに方法は書いてありますが、パスワードを変更しましょう。他のサービスと使い回ししているのであれば、そちらも変更してください。
メールアドレスはしょうがないです。
おそらく対象者にはこれからその旨メールがくると思います。そこの指示に従って変更するのが一番確実と考えられます。

ソース

have i been pwned?
Tumblr Staff

この記事は最終編集から一年以上経過しております。この記事に書かれた内容をご利用・実践される際は十分ご注意ください。