デンマークの多国籍ビールメーカーであるカールスバーグ・グループが、コペンハーゲンで開催されたブランド展示会で配布されたリストバンドに脆弱性が見つかったことで、予期せぬ理由で話題になっている。イベントのメディアに参加者がアクセスできるよう設計されたこのリストバンドは、適切な認証や総当たり(ブルートフォース)対策がないまま、単純な数値識別子を通じて個人データを露出させていた。
各リストバンドには、個別の「思い出」ページへリンクするQRコードが含まれていた。しかし、各来場者のページを保護していたのは7桁の数値IDだけだった。1台のノートPCで動く基本的なスクリプトにより、短時間で数百件の有効なIDを見つけることができ、写真や動画、来場者のフルネームが明らかになった。
この発見を行ったのは、英国拠点のPen Test Partners(PTP)のアラン・モニー氏で、カールスバーグの公式バグ報告窓口である第三者の開示プラットフォームを通じて脆弱性を提出した。これは高深刻度(CVSS 7.5)の問題として評価され、修正対象としてフラグ付けされた。しかし、最初の受領確認の後、連絡は途絶えた。カールスバーグは自社の開示タイムラインを守らず、問題が解決したという確認も提供しなかった。
数か月後、研究者がシステムを再テストしたところ、依然としてブルートフォースによる列挙が可能であることが確認された。レート制限やアクセス制御は、仮に実装されていたとしても効果がなかった。最初の報告から150日以上が経過しても進展や有意義な更新がないため、研究者は調査結果を公表することにした。
GDPR、開示の抑制と遅延
写真や動画に紐づいたフルネームという露出したデータは、GDPRにおける個人を特定できる情報(PII)に該当する。たとえプロモーションイベント中であっても、そのようなデータを収集する組織には保護する義務がある。カールスバーグがそのデータを保護できなかったこと、また責任ある開示に適切に対応しなかったことは、規制上の疑義を招く可能性がある。
さらに悪いことに、カールスバーグの開示プラットフォームであるZerocopterは、脆弱性の公表は認められないと研究者に伝えた。これは数か月にわたる沈黙と未解決のままの状況の後に出されたものだった。Pen Test Partnersはこの制限を拒否し、責任ある開示の慣行に反すると述べた。修正やフォローアップがないまま150日以上が経過したため、彼らは公表に踏み切った。
同社のブログ投稿はこちらで閲覧できる。カールスバーグはこの件について公的な声明を出していない。ただし、Pen Test Partnersがベンダーに対する責任ある脆弱性開示で問題に直面したのは今回が初めてではない。2025年12月には、研究者らが、同社がユーロスター(著名な高速鉄道運行会社)のAIチャットボットにおける重大な欠陥を責任をもって開示したところ、ユーロスターが彼らを恐喝だと非難したと報告している。
翻訳元: https://hackread.com/carlsberg-event-wristband-leaked-pii-disclose/
