2019/11/18 Lumin PDFからの情報漏洩について

カテゴリ: Security(セキュリティ)

Google Drive上でPDFファイルを編集することが出来る Lumin PDFアプリにおいて、2019年4月に1550万件のユーザー情報が漏洩いたしました。

漏洩したデータの中には、Google DriveへのAPIアクセストークン(*1)、メールアドレス、氏名、パスワード等が含まれております。

漏洩したデータの中に本学のアカウントが含まれているとの情報が寄せられております。

自身のユーザ情報が流出データに含まれるかどうかは、Have I Been Pwndedのサイトで確認することができます。

(*1) APIアクセストークンで認証をすると、パスワードや2段階認証をすることなしに、ファイルにアクセスすることができます。

 

  • 自身のメールアドレスが流出データに含まれていた場合の対処

  1. APIアクセストークンは2019/9/18にGoogleにおいて強制的に無効化されておりますが、2019/4~2019/9/18までの間にGoogle Drive上のファイルに不正にアクセスが出来る状態になっていたと推測されます。情報流出等の事象が確認された場合は、情報システム課までご連絡をお願いいたします。
  2. 本学で利用している(G suite for Education)との連携のみで利用している場合は、パスワード変更の対処は必要はありません
  3. LuminPDFはDropboxとも連携が出来るようになっていることから、Dropboxと連携して利用されていた場合は、Dropbox上のファイルに対しても、不正にアクセスが出来る状態になっていた可能性があります。
  4. 個人でSign upして利用されていた場合は、念のためLumin PDFのパスワード変更をお願いいたします。
  5. また、Lumin PDFに個人でSign upしていた場合で、パスワードを学内サービスや、学外の他のサービスで使いまわしをしていた場合は、各サービスのパスワードを変更する必要があります。