- 研究者がUStriveの欠陥を発見し、未成年者を含む23万8,000人のユーザーの機微なデータが露出
- 同社は漏えいは修正したと主張するが、期間や通知の詳細は明かさず
- データベースの設定ミスは漏えいの原因となることが多く、評判・財務・法的な影響につながる
米国のオンライン・メンタリング企業UStriveは、数十万人のユーザーに関する機微な情報を漏えいさせていた。
今月初め、匿名を希望するセキュリティ研究者がTechCrunchに連絡し、UStriveのウェブサイトに欠陥を発見し、他のユーザーの個人情報を閲覧できたと述べた。
UStriveはAmazonがホストするGraphQL(API向けのクエリ言語で、クライアントが必要なデータだけを正確に要求できる)を使用していたため、研究者はネットワークトラフィックを調査する際に、ブラウザの開発者ツールでその情報を確認できた。
問題は修正済み
研究者によれば、氏名、メールアドレス、電話番号などのほか、ユーザーが提供したその他のデータを含む、23万8,000人のユーザーの機微なデータにアクセスできたという。また、サービスの性質上、ユーザーの多くが未成年者である点も言及しておくべきだ。
TechCrunchはUStriveに直接問い合わせ、何度かやり取りした後、漏えいは「是正された」との回答を得た。ほかの詳細は共有されなかったため、情報がどれほどの期間アクセス可能だったのか、あるいは(特に悪意ある行為者によって)それ以前に誰かがアクセスしていたのかは分からない。
また、UStriveがどのように問題を修正したのか、あるいは影響を受けた個人にこの不手際を通知するのかも不明だ。
同社の法務代理人はTechCrunchに対し、同社は元ソフトウェアエンジニアの一人と現在訴訟中であり、そのため「対応能力がいくぶん制限されている」と述べた。
データベースの設定ミスは、世界中でデータ漏えいの主因の一つであり続けている。クラウド環境ではデータセキュリティは共同責任であり、顧客は自らのデータを無許可の第三者がアクセスできないようにするため、利用可能なあらゆるリソースを用いる義務がある。
しかし実際にはそうならないことが多く、その結果、大規模なデータ流出が発生する。これらはひいては、金銭的損害、評判の失墜、事業や顧客の喪失、そして場合によっては集団訴訟につながり得る。
