Oligur

• ニュース

火曜日、FBIはバージニア州のデータセンターからブレードサーバーをリースしているスイスのホスティング会社DigitalOneから複数のサーバーを押収しました。FBIが逮捕状を取得していたのは、詐欺的な「スケアウェア」配信者が使用していた特定のサーバー1台のみでしたが、実際には、当初狙っていたサーバーよりもはるかに多くのサーバーを押収し、その過程で複数のウェブサイトをオフラインにしました。そして、その過程で、人気のオフライン読書プラットフォームInstapaperのユーザーデータのほぼすべて、コードベースの一部、そしてパスワード暗号化キーの一部も盗み出しました。

Instapaper 開発者の Marco Arment 氏は、Instapaper サービスが完全にオフラインになることを防ぐバックアップを用意していたにもかかわらず、Instapaper サーバーを奪取したことで、FBI は「Instapaper のほぼすべてのデータとコードベースのかなりの一部を不法に入手した」と述べている。

このデータには、ユーザーの完全なリスト、すべてのメールアドレス、削除されていないブックマーク、そしてソルト付きSHA-1ハッシュのパスワード（Arment氏によると比較的安全であるはず）が含まれます。しかし、PinboardをInstapaperと併用すると、平文のユーザー名と暗号化されたパスワードがFBIの手に渡ります…そして、Instapaperのソースコードのおかげで、暗号化キーもFBIの手に渡ります。

さらに悪いことに、少なくともアーメント氏がいるところでは、Instapaper がこの情報を一切取り戻すことは不可能に思える。

ここ数週間のハッカーグループによる大規模な攻撃を考えると、FBIがユーザーのセキュリティを侵害する最新のグループになったというのは皮肉なことです。政府への不信感の度合いによって、FBIがあなたのInstapaperデータを保管していることを非常に安心できると感じる人もいれば、非常に不安に感じる人もいるでしょう。

いずれにせよ、Instapaperのログイン情報を他のサイトでも使用している場合は、今すぐ変更するタイミングかもしれません。ここ数ヶ月のハッキング攻撃の多さを考えると、脆弱性を最小限に抑え、サイトごとに異なるパスワードとログイン情報を使用することは理にかなっています。