- 研究者らは保護されていない16TBのMongoDBデータベースを発見し、ほぼ20億件におよぶPII(個人を特定できる情報)を含むレコードが露出していたことを確認
- データはLinkedInやApollo.ioからスクレイピングされた可能性が高く、リードジェネレーション企業に紐づいているとみられる
- データベースは開示後に保護されたものの、露出していた期間や悪意あるアクセスの有無は不明のまま
個人を特定できる情報(PII)を含む16テラバイト以上のプロフェッショナルおよび企業インテリジェンスデータが、保護されていないデータベース内に置かれ、場所さえ知っていれば誰でもアクセスできる状態になっていた。
これは、データベースを発見したCybernewsのサイバーセキュリティ研究者によるもので、彼らはこれを「これまでに漏えいした中で最大級のリードジェネレーション用データセットの一つ」と表現している。
リスクや深刻な影響があるにもかかわらず、保護されていないデータベースは依然としてデータ漏えいの最も一般的な原因の一つである。今回のケースでは、研究者らは約43億件のドキュメントを含むMongoDBデータベースを発見した。
個人を特定できる情報
これらのドキュメントは「intent」「profiles」「people」「sitemap」「companies」など、9つのコレクションに分割されていた。この構造から、研究者らはこのデータベースがLinkedInやApollo.io(AIセールスプラットフォーム)からスクレイピングされた可能性が高いと考えた。
9つのコレクションのうち、少なくとも3つには個人を特定できる情報が含まれていた。これらのコレクションには、ほぼ20億件のファイルが格納されており、人々の氏名、メールアドレス、電話番号、LinkedInのURLおよびプロフィールハンドル、役職名、勤務先、職歴、学歴、学位および資格、位置情報、使用言語、スキル、職務機能、ソーシャルメディアアカウント、画像URL、メールの信頼度スコア、Apollo IDなどが露出していた。
コレクションの一つには人々の写真も含まれていた。露出したすべてのPIIにより、ユーザーはなりすまし被害や詐欺の深刻なリスクにさらされている。
Cybernewsは、合理的な確信をもってこのデータベースを特定の組織に帰属させることはできなかったとしつつも、リードジェネレーション企業を示唆する手がかりを発見したと述べている。
「同社は、企業が潜在顧客を見つけてつながるのを支援しており、公開されたデータベースに含まれる情報の種類と強く相関する大規模なB2Bリードデータベースへのアクセスを提供している」とレポートは述べている。研究者らはその企業に連絡を取ったが、所有者であるとの確認は得られなかったものの、2日後にはデータベースはロックされた。
また、このインスタンスがどれほど長い間公開状態だったのか、あるいはその前に悪意ある攻撃者がアクセスしていたのかも不明だが、その可能性は十分にある。
