RockYouへSQLインジェクションで3200万件の個人情報漏洩

ソーシャル・ガジェットの大手サイト、RockYouがハッカーに侵入され、3200万以上のユーザーアカウントの情報が盗まれたという記事。
記事の中では、このサイトのセキュリティがいかにダメだったか、発覚後の対応がさらに良くなかったことを書いてある。
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪

RockYouはユーザーのパスワードを暗号化せず平文のままデータベースに保管していた。やがて問題のデータにはユーザーが入力した他の提携サイトのパスワードも含まれていることが分かり、事態は当初に考えられていたよりずっと深刻であることがわかった。
データベースには、RockYouの提携サービスの一覧と個別ユーザーのそれらサービスへのログイン情報が含まれていた。提携サービスにはMySpaceやウェブメールのアカウントが含まれていた。
ハッカーは最初に簡単なSQLインジェクション脆弱性を利用した。この脆弱性は10年以上前から詳しく文書化されているもので、ハッキングの手口としてはこの上なく初歩的である。しかしその結果はRockYouにとって壊滅的だった。

SQLインジェクションというものが昔からあるからと言って、初歩的な手口と言えるかどうかは、疑問。
これが、実行犯のページかな。
igigi’s blog ツサ Blog Archive ツサ Rockyou.com exposed more than 32 millions of passwords in plaintext

So i was reading this shit about how some lol company Imperva found a SQLi on Rockyou.com. Yea, right, you’re the best. Too late guys, too late. I’ve got every account downloaded from this shitty site. You were too slow, but what can i expect from you?
There is 32 603 388 customers. Pretty nice list with plain text passwords. It’s so lame, and I’m sure that more than half does work for myspace and other sites.
Don’t lie to your customers, or i will publish everything

(この後、入手したデータの一部のリスト)