Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存誰でもダウンロード可能に

Verizonから業務を委託された企業は、加入者の氏名、住所、暗証番号などの情報をAmazon S3に保存していたが、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だったという。

» 2017年07月13日 10時00分 公開
[鈴木聖子ITmedia]

 セキュリティ企業UpGuardは7月12日、米通信大手Verizonの加入者1400万人の個人情報が、クラウドベースのストレージサーバ上に無防備な状態で保存されていたのを発見したと発表した。

 UpGuardによると、問題のクラウドサーバはVerizonからコールセンターなどの業務を委託されたイスラエル企業、NICE Systemsが運用していた。

photo UpGuardのブログ

 NICEはVerizon加入者の氏名、住所、アカウント情報、本人確認用の暗証番号などの情報を、Amazon Web Services(AWS)のクラウドストレージサービスS3のバケットに保存していたが、設定ミスが原因で、このS3バケットのURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態だったという。

 Verizon加入者の個人情報に加えて暗証番号まで流出すれば、他人が加入者になりすましてアカウントに不正アクセスすることも可能であり、モバイル通信に依存した2段階認証が普及している現状では、極めて危険だとUpGuardは指摘する。

photo Amazon S3に保存しているリポジトリ(出典:UpGuard)

 同じサーバに保存されていたフランス語のテキストファイルには、やはりNICE Systemsに業務を委託していたフランスの通信大手Orangeの社内データも記録されていたという。

 UpGuardはこの問題について2017年6月13日にVerizonに連絡したが、是正されたのは6月22日だったといい、対応にこれだけの期間を要したことも問題視している。

関連キーワード

Verizon | Amazon Web Services | クラウド | Amazon S3


Copyright © ITmedia, Inc. All Rights Reserved.