2/10の午前0時30分頃、動画投稿サイトのStage6が何者かによってクラックされ、書き換えられたトップページにアクセスした人がポルノサイトに飛ばされるという事態が発生していたようです。
この際、データベースにアクセスされた疑いもあり、Stage6ユーザのメールアドレスとパスワードの一部(2007年12月11日から2008年2月9日に新規のStage6アカウントを登録した人)が漏れている模様。他には、未パッチのFirefoxでアクセスしてしまった人も要注意だそうです。
被害が予想されるのは2.0.0.11以前のFirefoxでstage6にアクセスし、別のサイトへ飛ばされた人々である。この時XSS脆弱性によって訪問者のクッキーが読み取られ、メールアドレスとパスワードがクラッカーに渡ったとみられている。(その後paypalアカウントなどが4canに掲示された。)国内で確認されている被害は以下。
- stage6と同じニックネーム、PASSを設定してるyahooのアカウントにログインされた。
- googleのtopのアカウント名表示されるところに 他人のIDが表示される。
ブラウザに他のサービス(通販などのIDとパスワードを利用するもの全て)のIDなどを保存していてstage6を踏み、別サイトへ飛ばされた場合、クッキーとして保存されている全てのパスワードを変更した方がいいかもしれない。IEや他のブラウザについては不明。ここ二ヶ月間の間にstage6 へログインしたユーザーは要注意である。
[ Stage6 - Wikipedia ]
(via スラッシュドット・ジャパン)
