Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存:誰でもダウンロード可能に
Verizonから業務を委託された企業は、加入者の氏名、住所、暗証番号などの情報をAmazon S3に保存していたが、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だったという。
セキュリティ企業UpGuardは7月12日、米通信大手Verizonの加入者1400万人の個人情報が、クラウドベースのストレージサーバ上に無防備な状態で保存されていたのを発見したと発表した。
UpGuardによると、問題のクラウドサーバはVerizonからコールセンターなどの業務を委託されたイスラエル企業、NICE Systemsが運用していた。
NICEはVerizon加入者の氏名、住所、アカウント情報、本人確認用の暗証番号などの情報を、Amazon Web Services(AWS)のクラウドストレージサービスS3のバケットに保存していたが、設定ミスが原因で、このS3バケットのURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態だったという。
Verizon加入者の個人情報に加えて暗証番号まで流出すれば、他人が加入者になりすましてアカウントに不正アクセスすることも可能であり、モバイル通信に依存した2段階認証が普及している現状では、極めて危険だとUpGuardは指摘する。
同じサーバに保存されていたフランス語のテキストファイルには、やはりNICE Systemsに業務を委託していたフランスの通信大手Orangeの社内データも記録されていたという。
UpGuardはこの問題について2017年6月13日にVerizonに連絡したが、是正されたのは6月22日だったといい、対応にこれだけの期間を要したことも問題視している。
関連記事
- 米Yahoo!のVerizonへの主要事業売却完了へ
米Yahoo!が2016年7月に発表したニュースやメールなどの主要事業のVerizonへの売却がようやく6月13日に完了する。Verizonはこの事業を傘下のAOLと統合し、Oathという新会社にする計画。約2100人がリストラされるといううわさもある。 - Verizon、買収する米Yahoo!とAOLを統合し、新会社「Oath」に
Verizonは、買収する米Yahoo!の主要事業とAOLを統合し、社名を「Oath」(宣誓、などの意味)とする。AOLのアームストロングCEOがそうツイートした。 - 激増するサイバースパイやランサムウェア、米機関も注意勧告
製造業や公共セクター、学術機関などがサイバースパイの被害に遭って調査研究内容などが流出。ランサムウェア攻撃は前年に比べて50%も増加した。 - AWSがセキュリティ体制を公開「データの安全性はオンプレミス以上」
AWSは、クラウドでもセキュリティは確保できると主張。同社データセンターのセキュリティ体制を例に挙げて安全性をアピールした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.