2025/12/18 5:18

Pornhub extorted after hackers steal Premium member activity data

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

PornHubは、2025年11月8日にMixpanelの侵害が一部のプレミアムユーザーの歴史的分析データを漏えいしたと発表しました。パスワードや支払い情報には影響はありませんでした。この漏洩はMixpanelに対するSMSフィッシング攻撃によるもので、ShinyHuntersが94 GBのデータ（201 百万件のユーザー活動記録）を盗み取りました。該当データにはメールアドレス、活動種別（視聴/ダウンロード/チャンネル閲覧）、所在地、動画URL／名前、関連キーワード、タイムスタンプ、および検索履歴が含まれています。PornHubは2021年以来Mixpanelと協力していないため、この情報は古い期間のものと思われます。Mixpanelは、盗難データが同年11月の侵害から来ているという主張を否定しています。ShinyHuntersはSalesforce統合やGainSightなどのテック企業に対するゼロデイ脆弱性攻撃の歴史があり、Scattered Spiderと提携して「ShinySpid3r」というランサムウェア・アズ・ア・サービスプラットフォームを開発しています。グループは依然として盗難データに対する身代金を要求し、ランサムウェアの提供範囲を拡大しており、将来的により大きな侵害につながる可能性があります。プレミアムユーザーは検索履歴やダウンロード履歴に関するプライバシー懸念に直面しています。一方でMixpanel、PornHub、およびその他の影響を受けた企業は評判への損害と規制監査のリスクにさらされています。この事件は業界全体でより強力なフィッシング対策とゼロデイ脆弱性への警戒が必要であることを示しています。

本文

成人向け動画プラットフォーム「PornHub」が、Premium会員の検索・視聴履歴が最近発生したMixpanelデータ侵害で盗まれたと報じられたことを受け、「ShinyHunters」ギャングに恐喝されている

侵害の詳細
- 先週、PornHubはアナリティクスベンダーMixpanelで発生したデータ漏洩の影響を公表しました。
- Mixpanel事件は2025年11月8日にSMSフィッシング（smishing）攻撃により脅威主体が同社システムを乗っ取ったことで起きました。
- 「Mixpanelに関わる最近のサイバーセキュリティインシデント…」というPornHubのセキュリティ通知は金曜日に掲載されました。
影響範囲
- Premium会員のうち選ばれた一部のみが対象で、Pornhub Premium自身のシステムには侵害はありませんでした。
- パスワード・支払情報・財務データは安全です。
- PornHubは2021年以降Mixpanelと協業していないと述べており、盗まれたレコードは2021年以前の歴史的アナリティクスデータであることを示唆しています。
Mixpanelの対応
- 侵害は「限られた数」の顧客に影響したとされます。OpenAIやCoinTrackerも同様に被害を公表しました。
- 今こそ初めて、ShinyHuntersがMixpanel侵害の裏にいることが公的に確認されました。
- 当社の報道後、MixpanelはBleepingComputerへ以下と語りました：
  
  「11月のセキュリティインシデントでMixpanelから盗まれたという証拠は一切見当たりません。」
  「このデータは2023年にPornhub親会社の正規社員アカウントによって最後にアクセスされたものです。もし無許可の第三者が手にしているなら、Mixpanelでのセキュリティインシデントとは関係ないと考えます。」
ShinyHuntersの恐喝行為
- ShinyHuntersは先週からMixpanel顧客を恐喝し、「We are ShinyHunters」と始まるメールを送付、身代金が払われなければ盗んだデータを公開すると脅迫しています。
- PornHubへの要求では、94 GBに相当する200 万件以上の個人情報レコードを盗んだと主張しています。
- BleepingComputerへの確認で、同社は201,211,943件のPremium会員の検索・視聴・ダウンロード履歴が含まれていることを明らかにしました。
- 提供されたサンプルでは、Mixpanelへ送信されるアナリティクスイベントには以下のようなセンシティブ情報が含まれています：
  - メールアドレス
  - 活動種別（視聴、ダウンロード、チャンネル閲覧）
  - 位置情報
  - 動画URLと名前
  - 動画に関連するキーワード
  - イベントのタイムスタンプ
- ShinyHuntersは検索履歴もイベント内に含まれていると報告しています。
ShinyHuntersによるその他のインシデント
- 同団体はSalesforce統合企業を侵害し、Salesforceインスタンスへのアクセス権を取得して会社データを盗み出しました。
- Oracle E‑Business Suiteゼロデイ（CVE‑2025‑61884）の悪用や、以前のSalesforce/Drift攻撃に関連しています。多くの組織が影響を受けました。
- GainSightへの侵害も実施し、更なるSalesforceデータを盗み出しました。
- Mixpanel侵害での役割が確認されて以降、彼らは2025年に最も大きなデータ漏洩事件の一部を担い、数百社に影響を与えています。
- 同時に、新しいランサムウェア・サービスプラットフォーム「ShinySpid3r」を開発中で、これはScattered Spiderと関連する脅威主体のための傘的存在になることを意図しています。

Bitpanda、KnowBe4、PathAI などの IAM サイロを解体する

IAM の欠陥は単なる IT 問題ではありません—その影響は企業全体に波及します。
この実践ガイドでは、従来の IAM 実務が現代の要求に追いつけない理由、優れた IAM がどのようなものかの例、そしてスケーラブルな戦略を構築するための簡易チェックリストについて解説します。

同じ日のほかのニュース

一覧に戻る →

2025/12/18 1:42

Gemini 3 Flash: Frontier intelligence built for speed

## Japanese Translation: > **概要：** > Google は、低コストで高速な AI モデル Gemini 3 Flash をリリースしました。これは Flash レベルのレイテンシーでプロ級の推論性能を提供します。Gemini アプリと Search の AI Mode では既にデフォルトエンジンとなり、Gemini 2.5 Flash は世界中で追加料金なしで即座に置き換えられます（Gemini 3 Pro が公開された直後）。ベンチマーク結果では、GPQA Diamond で 90.4 %、Humanity’s Last Exam（ツール無し）で 33.7 %、MMMU Pro で 81.2 %、SWE‑bench Verified で 78 % を獲得し、より大きなフロンティアモデルを上回ります。Gemini 3 Flash は Gemini 2.5 Pro より約30 %少ないトークン数で同等以上の性能を発揮します。価格は入力トークンあたり 0.50 USD、出力トークンあたり 3 USD（音声入力は 1 USD/百万トークン）です。JetBrains、Bridgewater Associates、Figma など多くの企業がこのモデルを活用し、コーディング、データ分析、設計ワークフローの高速化に役立てています。開発者は Gemini API（Google AI Studio）、Antigravity、Gemini CLI、Android Studio、Vertex AI、および Gemini Enterprise を通じて Gemini 3 Flash にアクセスできます。このモデルは Gemini アプリと Search 経由で全ユーザーへ展開されるほか、プレビュー API でも利用可能です。

2025/12/18 6:13

I got hacked: My Hetzner server started mining Monero

## Japanese Translation: ヘツナー VPS 上で Coolify をホストし、Next.js ベースの Umami アナリティクスを含む複数コンテナを実行していた。12 月 7 日に、Umami コンテナ内に Monero マイニングボット（`javae`/`xmrig`）が出現し、CPU スパイクが約 15 倍に増大した。著者はマイナーをコンテナに追跡し、CVE‑2025‑66478 ― Next.js の React Server Components “Flight” プロトコルにおける不安全なデシリアライゼーション（Puppeteer を介さずリモートコード実行が可能）を特定した。HTTP リクエストを巧妙に作成することで RCE が発動し、マイナーがインストールされた。ホストファイルシステムのチェック（`/tmp/.XIN-unix/javae`）ではエスケープは確認できず、コンテナは非 root の `nextjs` ユーザーとして実行され、特権モードやボリュームマウントも無いため、すべての悪意あるプロセスは名前空間内に留まった。著者は侵害されたコンテナを停止・削除し、CPU 負荷を通常状態へ戻した。UFW をデフォルトで受信トラフィックを拒否するよう設定し、SSH、HTTP、および HTTPS のみ許可することで、オープンな PostgreSQL / RabbitMQ ポートを効果的に遮断した。ヘツナーは 2025‑12‑17 にネットワークスキャン検知後、アブズケース警告を送付し、著者が侵害と対策を説明するとともにチケットはクローズされた。重要な教訓として、十分に隔離されているコンテナでも基盤フレームワークに脆弱性がある場合は突破可能であり、「Next.js を使っていない」状態が第三者ツールの依存関係によって偽りになるケースがあることを指摘した。この事例は、ファイアウォールルール、非 root ユーザー設定、特権モード無し、監視・ fail2ban の導入、およびタイムリーなパッチ適用という防御層の重要性を強調した。 ## 行動計画 - Umami を廃止する - すべてのコンテナに対してユーザー権限とマウントを監査する - SSH アクセスを強化し、アラートを設定する - セキュリティパッチを定期的に適用し、将来のインシデントを防止する ---

2025/12/18 3:15

How SQLite is tested

## Japanese Translation: > **SQLiteのテストインフラは網羅的で、コードベース全体にわたって完全な分岐カバレッジを実現しています。** > プロジェクトには約155.8 KSLOCのCソースがありますが、テストコードは92 M KSLOC以上――約590倍の量――で、すべての行が実行されることを保証しています。4つの独立したハーネスがカバレッジを提供します： > • **TCL**（27.2 KSLOC、1,390個のスクリプトファイル）で51,445件の異なるケースと数百万回の実行があります； > • **TH3**（1,055.4 KSLOC、約76.9 MBのバイナリ）で50,362件の異なるケース、完全カバレッジに必要な2.4 Mインスタンス、および約248.5 Mテストを実行するソークテストがあります； > • **SQL Logic Test (SLT)** はSQLiteとPostgreSQL、MySQL、MS SQL Server、Oracle 10gを比較し、7.2 Mクエリと1.12 GBのデータで検証します； > • **dbsqlfuzz**（libFuzzerベース）はSQLとデータベースファイルの両方を変異させ、約336個のシードファイルから16コアで1日あたり約500 Mテストを提供します。 > 追加の軽量ハーネスには `speedtest1.c`、`mptester.c`、`threadtest3.c`、`fuzzershell.c`、およびJSONBファズラ `jfuzz` が含まれます。 > 異常テストではメモリ不足、I/O障害、クラッシュ／電源損失、およびカスタムmalloc/VFSフックを使用した複合故障をシミュレートし、各障害後に整合性チェックが実行されます。 > ファズリングの歴史はAFL（2014‑2019）からOSS Fuzz（2016年以降）、その後dbsqlfuzz（2018年末）とjfuzz（2024年1月）へ進化しました。`fuzzcheck` スクリプトは毎回ビルド時に興味深いケースを再実行し、新しいバグが自動的にリグレッションテストとして生成されることを保証します。 > リソースリーク検出はTCL/TH3ハーネスに組み込まれており、メモリリーク、ファイルディスクリプタ枯渇、および不要なスレッドが自動的に監視されます。 > カバレッジは `gcov` を使用して100 %の分岐カバレッジと変異テストで達成され、マクロ（`ALWAYS`、`NEVER`、`testcase`）がMC/DCを強制し、コメント（`/*OPTIMIZATION‑IF‑TRUE/FALSE*/`）は偽陽性を防ぎます。 > 結果として、継続的に拡張される高い信頼性のテストスイートが実現し、ユーザーにSQLiteの安定性への確信を提供し、セキュリティ脆弱性から保護し、オープンソースデータベース品質保証のベンチマークとなります。