サイバーセキュリティ研究者らが、英国およびアイルランドのタクシー乗客約30万人に関する重大なデータ露出を発見しました。
Jeremiah Fowler氏はvpnMentorと協力し、氏名、電話番号、メールアドレスなどの個人情報を含む、パスワードで保護されていないデータベースを発見しました。これらの記録は、ダブリン拠点の配車およびフリート管理テクノロジー提供企業iCabbiのもので、悪用される可能性にさらされていました。
露出していたデータベースには22,745件のレコードと、顧客の 氏名、メールアドレス、電話番号、ユーザーIDを含む.csvドキュメントが含まれていました。侵害されたデータの中には、さまざまなプロバイダーおよびプライベートドメインのメールアドレスが含まれており、内訳は次のとおりです:Gmail 117,231件; Hotmail 65,060件; Yahoo 17,588件; iCloud 18,099件; Outlook 12,798件; Live 7,484件; その他。
特筆すべき点として、BBC、NIH、HM Treasury(英国財務省)、Ministry of Justice(法務省)などのメディアや政府機関のメールアドレスも、大学のメールアドレスとともに露出していました。
「氏名、メールアドレス、電話番号、ユーザーIDの露出は、身元盗用から標的型フィッシング攻撃まで、潜在的なセキュリティ問題のパンドラの箱を開けることになります」と、KnowBe4のリード・セキュリティ啓発アドボケイトであるJavvad Malik氏は述べました。
「国会議員から上級政策アドバイザー、EU大使に至るまでの著名人が含まれていることでリスクはさらに高まり、より複雑なソーシャルエンジニアリングやスパイ活動の可能性をもたらします。」
さらなる調査の結果、Fowler氏は、このデータベースがアプリケーションで使用されるさまざまな文書の保管リポジトリとして機能していたことを突き止めました。公開されていたのは一部の文書のみでしたが、サイバー犯罪者がこの知見を悪用して標的型攻撃を行う潜在的リスクは依然として懸念されています。
Fowler氏は速やかにiCabbiへ問題を通知しました。同社は透明性をもって対応し、誤りを認めたうえで、露出していた記録を迅速に削除しました。
「iCabbiがこの報告にこれほど適切に対応したのを見るのは喜ばしいことです」と、CyberSmartのサイバーセキュリティ・コンサルタントであるAdam Pilton氏は述べました。
「研究者に謝意を示し、何が起きたのかを説明し、顧客に周知するため連絡すると助言し、それらすべてを1日以内に行っています。こうあるべきですが、研究者が無視されたり、歯切れの悪い回答が返ってきたりする話をあまりにも頻繁に耳にします。」
同時に、comforte AGのサイバーセキュリティ専門家であるErfan Shadabi氏は、iCabbiのタクシーソフトウェアで特定された今回のような最近の事案が、組織システム内の脆弱性や設定ミスに起因する重大なリスクを浮き彫りにしていると強調しました。
「組織は、機密情報を効果的に保護するために、トークナイゼーションのようなデータ中心のセキュリティアプローチを採用する必要があります」とShadabi氏は警告しました。「強固なデータ保護対策を実装することで、たとえ技術的な問題が発生しても、データの完全性と機密性が保たれることを組織は確実にできます。」
翻訳元: https://www.infosecurity-magazine.com/news/data-breach-exposes-300k-taxi/
