- EYが機密性の高い認証情報やアプリケーションの秘密を含む4TBのSQLバックアップをオンラインで公開
- Neo SecurityがEYに警告、研究者は既に脅威アクターがデータへアクセスした可能性を指摘
- EYはプロフェッショナルに対応したが、完全な対処には1週間を要した
世界最大級の会計事務所であるアーンスト・アンド・ヤング(EY)は、完全なデータベースのバックアップをパブリックインターネット上に保管し、見つけ方を知っている人なら誰でもアクセスできる状態にしていました。このバックアップは.BAKファイルで、サイズは4TB、スキーマやデータ、ストアドプロシージャ、そして「それらのテーブルに保存されたすべての秘密」を含む機密情報が含まれていました。
これはNeo Securityのセキュリティ研究者によるもので、「低レベルのツール作業」をしていた際にSQL ServerのBAKファイルが目に留まったとのことです。
研究者は(犯罪になるため)データベース全体をダウンロードはしませんでしたが、これらのファイルには通常「APIキー、セッショントークン、ユーザー認証情報、キャッシュされた認証トークン、サービスアカウントのパスワードなど、アプリケーションがデータベースに保存したあらゆるもの。1つの秘密だけでなく…すべての秘密」が含まれていると述べています。
「教科書通りの」対応
研究者は、その影響は甚大になり得たと説明しています。たった1つのBAKファイルが数分間公開されただけで、企業が侵害されランサムウェアに感染するには十分でした。
「4TBのSQLバックアップがパブリックインターネットに公開されているのを見つけるのは、金庫の設計図と物理的な鍵がただ置かれていて、『ご自由にどうぞ』というメモが添えられているようなものです」と警告しています。
疑いが確信に変わるとすぐに、研究者はEYに連絡し、この発見について警告しました。データベースがどれだけの期間公開されていたかは分からず、責任ある研究者ならその時点で複数の脅威アクターが既に盗んでいると想定すべきだと述べています。
それでも、EYの対応を称賛し、同社のITチームは「教科書通りの完璧な対応」だったと述べています。
「プロフェッショナルな認知。防御的な態度も法的脅しもなし。ただ『ありがとう。すぐに対応します』」
それでも、EYが問題を完全に特定し解決するまでには1週間かかりました―この種の問題では1秒ごとが重要であるにもかかわらず、かなりの時間です。
「数か月前、EYは潜在的なデータ漏洩の可能性を認識し、直ちに問題を修正しました」とEYはTechRadar Proへの声明で述べています。
「クライアント情報、個人データ、またはEYの機密データには影響はありませんでした。この問題はEYイタリアが買収した法人に限定されており、EYのグローバルなクラウドやテクノロジーシステムとは無関係でした。」
Via The Register
