パスワードマネージャーサービスのDashlaneは3日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」の2020年版を発表した(Dashlane Blogの記事、 BetaNewsの記事)。

1位に選ばれたのはTwitter従業員。理由として挙げられているのは7月のアカウント侵害インシデントで、ターゲットになったTwitter従業員は偽のパスワードリセット画面にだまされて認証情報を入力し、多要素認証コードも抜き取られたという。その結果、攻撃者はTwitter内部のツールを用いて著名人を含む130アカウントを攻撃し、パスワードリセットに成功した45アカウントから詐欺目的のツイートを投稿した。DashlaneではTwitterがとった対策のうち、従業員全員にパスワードリセットを要求したことも1位に選ばれたポイントの一つに挙げている。

2位～10位は以下のとおり。昨年までは安易なパスワードを設定する有名人などもランキング入りしていたが、今年のランキングは顧客の情報が流出した企業や、多数のアカウント侵害が発生したサービスのユーザーなど、サイバー攻撃の被害者リストになっている。

• 2. Zoomユーザー: 他サービスで流出した認証情報と同じ組み合わせの認証情報を用いるアカウント50万件の認証情報がダークウェブで売られる
• 3. 格安航空会社 EasyJet: 2,000人分のクレジットカード情報を含む顧客900万人分の個人情報が流出
• 4. 信用情報サービス Experian: 顧客になりすました攻撃者に南アフリカ支社の職員が個人情報を渡してしまい、南アフリカの2,400万人と80万のビジネスに影響
• 5. ホテルチェーン Marriott: 従業員の認証情報が侵害され、新たに宿泊者520万人分の個人情報が流出
• 6. 任天堂ユーザー: 他サービスで流出したものを含む弱いパスワードを設定していたユーザーのアカウント30万件が不正アクセスを受ける
• 7. 食材キット Home Chef: ユーザー情報800万件がダークウェブで売られる
• 8. デートアプリ Zoosk: ユーザー情報3,000万件がダークウェブで売られる
• 9. 独立アーティスト向けマーケットプレース Minted: ユーザー情報500万件がダークウェブで売られる
• 10. デイトレーダー: 投資アプリ Robinhoodのユーザー数千人のアカウントが侵害され、資金が盗まれる