- VTEXのデータベースが、設定ミスによる認証なしのクラウドコンテナにより600万人分のユーザー情報を公開
- 漏洩したデータにはメールアドレス、住所、電話番号、詳細な購入履歴が含まれる
- Cybernewsは、6か月間VTEXから返答がなかったため、VTEXとブラジルのCERTに警告
世界的なEC企業であるVTEXが、数百万人分の顧客の機密データを漏洩していたことが専門家により警告されています。
この警告はサイバーセキュリティ研究者のCybernewsによるもので、同社は最善を尽くしたものの、VTEXに連絡が取れず、漏洩を止めることができなかったと述べています。
Cybernewsによると、2025年2月下旬、研究者が「膨大な量」のユーザーデータを含む保護されていないデータベースを発見しました。「このデータ漏洩は認証されていないコンテナから発生しました。これは人為的なミスによる一般的な設定ミスで、クラウドストレージ環境にパスワードが設定されていません。このため、プライベートなデータが検索エンジンから見える状態になり、誰でもオンラインでアクセスできるようになります」と報告書は述べています。
返答なし
合計で600万人分の情報が公開されていたとされており、メールアドレス、郵送先住所、電話番号、注文内容、その他の購入履歴などが含まれています。これはフィッシング攻撃や個人情報の盗難、さらには送金詐欺を仕掛けるのに十分な情報です。
情報はParquet形式で保存されており、これは大規模なデータセットを整理するためによく使われるカラム型データストレージ形式で、広範なデータ分析システムの一部となっていることが多いです。
CybernewsはVTEXにデータベースのロックを依頼しようとしましたが、6か月以上経っても返答がなかったとされています。
そのため研究者たちは、ブラジルのCERT(コンピュータ緊急対応チーム)に報告し、また公にこの事実を開示することを余儀なくされました。
「もうすぐ始まる季節的なショッピングシーズンに備え、顧客の皆さんが警戒を怠らないよう、私たちの調査結果を公開することにしました」とCybernewsは述べており、間近に迫ったブラックフライデーを示唆しています。
VTEXは、デジタルコマース向けのクラウドコマースプラットフォーム(SaaS)を提供するブラジルのソフトウェア企業です。38か国で事業を展開し、3,000以上のオンラインストアを支え、コカ・コーラ、ソニー、サムスンなどの大手ブランドにもサービスを提供しています。
2024年末から2025年初頭にかけてVTEXのクライアントで買い物をしたことがある場合、被害を受けている可能性があります。自分のメールアドレスをHaveIBeenPwned?で検索して漏洩しているか確認できますし、VTEXの顧客からのスパムメールが届いていないかにも注意してください。ただし、届いたメッセージには絶対に反応しないようにしましょう。
GoogleニュースでTechRadarをフォローし、 優先ソースに追加して、専門ニュースやレビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的に最新情報を受け取れます。
