仮想通貨XRPのウェブウォレットで、取引所機能も提供するGateHubから140万アカウントのユーザーの個人情報が流出したことが分かった。
今回流出が発覚した個人情報には、アカウントのパスワードやメールアドレスが含まれているが、この2つは最も耐性の高い方法でハッシュ化していたという。
また被害にあったデータベースには、2段階認証のキーや個人認証に利用できるフレーズ、ハッシュ化されたウォレット情報も含まれていたという申告もある。GateHubの担当者は、現在までの調査で、ウォレットの情報には不正アクセスされていないと伝えている。
また、今回GateHubの直後に、ゲームのBOTプロバイダー「EpicBot」も同様の被害に遭ったことを報告。EpicBotでは80万アカウントの個人情報が流出した。セキュリティ企業が被害にあったアカウントの一部を調べたところ、それらのアカウントの全てのメールアドレスが両社に登録されていたという。
Gatehubは今年6月、仮想通貨リップルで約10億円相当の2300万XRPがハッキング被害を受けている。その後、その事件を悪用したフィッシングメールが送られていることも発覚した。報告によると、フィッシングメールは「@gatehub.com」および、「@gatehub.net」と登録されたアドレスから送信されているという。時期については、6月10日から11日にかけて送られていた模様だ。
メールの件名は「Critical Security Warning / Action Required – New Secured Wallets」（セキュリティ上の重要な警告/対策 – 新たなセキュアなウォレット）となっており、GateHubによって作成された新たなウォレットへXRPの移動を促す本文となっている。ただし、このウォレットはメールの送信者のものであり、Gatehubの顧客資産の搾取が目的とみられる。GateHubは、このフィッシングメールに対し、「GateHubは秘密鍵などの機密情報をEメールで決して送信しない」としつつ、メールに記載された不審なアドレスへ送金をしないよう警告している。

また「他のユーザーに代わって新たなリップルウォレットを作成することはない」とも強調しており、疑わしいメールを受け取った場合はカスタマーサービス「security@gatehub.net」へ報告するよう求めている。

今回のような手口は、他の事件においても使われる可能性があるため、ユーザーは警戒が必要だ。