概要
Have I Been Pwnedなどで、情報漏洩について調べてみると、メールアドレスの漏洩場所としてGeekedInというものが表示されました。
このGeekedInはどのようなものなかについて調べました。
Have I Been Pwnedについて
Have I Been Pwned(HIBP)は、様々な場所で漏洩した個人情報を収集して、どのような情報が漏洩したのか、メールアドレスをもとに確認することができます。
Have I Been Pwned: Check if your email has been compromised in a data breach
HIBPで全ての漏洩データを確認できるわけではありませんが、代表的なものは網羅されています。新しい情報もよく追加されているので、定期的に確認するのも良いです。
ちなみに、HIBP自体が公開しているWebサイトもありますが、Firefox Monitorや1Password、Bitwardenなどの別のサービスなどでも、情報漏洩の確認のために裏で使われています。
HIBPは個人が運営しているサービスで、寄付により運営されています。そのため、サービスの維持のためにお金を支払ってもよいと思う方はちゃんと寄付した方がよいです。
あるとき、HIBPを使って、私が普段利用しているメールアドレスについて調べてみると、GeekedInというサービスからメールアドレスが漏洩していることが分かりました。しかし、GeekedInというサービスを利用した記憶は全くなく、そもそもどのようなサービスなのかもよく分かりません。
そこで、GeekedInについて調べてみました。
GeekedInについて
GeekedInというサービスは、GitHubで公開されているメールアドレスなどの情報を収集し、データを提供するサービスのようです。このGitHubで公開されている情報は、公開情報であるので、不正に取得されたデータではありません。
HIBPで表示される、GeekedInの情報漏洩は、この集められた情報をまとめたMongoDBのデータベースが盗まれたということでした。
つまり、通常であればGitHubのそれぞれのWebページにアクセスしなければ確認できない情報をまとめたデータベースが盗まれてしまったということのようです。
あくまでもGitHubで普段から公開されている情報について、GeekedInがスクレイピングにより収集していたものが漏洩したということですので、あまり怖がる必要はなさそうです。
しかし、これらの情報を元に攻撃する人からすれば、すぐに有効だと思われるメールアドレスのリストを知ることができるということで、スパムメールなどを送ることができ、メールアドレスの所有者からすれば、怖いことでもあります。
ちなみにですが、GeekedInではこのような集めたデータを整形して有料で提供するサービスを売っていたようです。このような用途でのスクレイピングはGitHubの利用規約に反しているようです。正直に言って、集めた情報を有料で知らない誰かに売っていたというのは、気味が悪く、サービスとして嫌悪感があります。
さいごに
HIBPで情報漏洩について調べた際に表示されたGeekedInについて調べてみました。
その結果、GeekedInは、GitHubの公開情報をスクレイピングにより収集していたサービスであり、そのデータベースが漏洩していたということが分かりました。
公開情報ということから、過度に怖がる必要はありませんが、スパムメールなどが届きやすくなっているかもしれません。