Verizonから業務を委託された企業は、加入者の氏名、住所、暗証番号などの情報をAmazon S3に保存していたが、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だったという。
セキュリティ企業UpGuardは7月12日、米通信大手Verizonの加入者1400万人の個人情報が、クラウドベースのストレージサーバ上に無防備な状態で保存されていたのを発見したと発表した。
UpGuardによると、問題のクラウドサーバはVerizonからコールセンターなどの業務を委託されたイスラエル企業、NICE Systemsが運用していた。
NICEはVerizon加入者の氏名、住所、アカウント情報、本人確認用の暗証番号などの情報を、Amazon Web Services(AWS)のクラウドストレージサービスS3のバケットに保存していたが、設定ミスが原因で、このS3バケットのURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態だったという。
Verizon加入者の個人情報に加えて暗証番号まで流出すれば、他人が加入者になりすましてアカウントに不正アクセスすることも可能であり、モバイル通信に依存した2段階認証が普及している現状では、極めて危険だとUpGuardは指摘する。
同じサーバに保存されていたフランス語のテキストファイルには、やはりNICE Systemsに業務を委託していたフランスの通信大手Orangeの社内データも記録されていたという。
UpGuardはこの問題について2017年6月13日にVerizonに連絡したが、是正されたのは6月22日だったといい、対応にこれだけの期間を要したことも問題視している。
Copyright © ITmedia, Inc. All Rights Reserved.