- ClaimPixが5,100,000件の機密保険ファイルを無防備な公開データベースで漏洩
- 書類には個人情報、車両情報、社内記録が含まれていた
- 研究者からの指摘後、ClaimPixはアクセス制限とコードの更新を約束
自動車保険請求を効率化する企業ClaimPixが、専門家の警告によると、電話番号やメールアドレスなどの顧客の機密データをクリアウェブ上で漏洩していたことが判明しました。
セキュリティ研究者のJeremiah Fowler氏は、設定ミスや保護されていないデータベースの発見で知られており、今回5,100,000件のファイルを含む事例を発見し、その調査結果をWebsitePlanetと共有しました。
このアーカイブは10TBの容量があり、委任状、車両登録証、見積書、修理請求書、ナンバープレートやVIN番号が見える損傷車両の画像などの書類が含まれていました。
ClaimPixの情報漏洩
データには、名前、住所、電話番号、メールアドレスが記載された保険関連書類や、車両に関する追加情報が記載された登録書類、さらに一般公開されるべきでない社内文書(規約や手数料など)も含まれていました。
Fowler氏の調査により、ClaimPixはイリノイ州ヒルサイドにあるテクノロジー企業で、保険請求、損傷査定、リモート検査を効率化するセルフサービス型写真記録プラットフォームを提供していることが判明しました。同社は保険、車両輸送、請負業など複数の業界をカバーしています。
ClaimPixは比較的小規模な非公開企業で、従業員は25人未満、年間売上は約500万ドルです。一部の情報源によれば、米国内で25,000件以上の請求を処理し、Bluestar Corporate Relocationなどの企業とも提携しています。
Fowler氏が連絡を取った直後、同社はデータベースへの一般公開アクセスを制限し、この不手際について謝罪しました。
「この問題に対処するため、ポリシーとコードを更新し、本日夜に変更を反映させる予定です」とClaimPixは研究者に伝えました。
いくつかの詳細は依然として不明です。ClaimPixがこのアーカイブを自社で運用しているのか、外部委託しているのかは分かっていません。また、どれくらいの期間公開状態だったのか、ロックされる前に悪意ある第三者がアクセスしたかどうかも不明です。記事執筆時点では、ファイルが盗まれたり、フィッシング攻撃などに悪用された証拠はありませんでした。
