データの別のバッチがオンラインで公開されました。今回、VPN MentorのITセキュリティリサーチャーは、北米全体で何百万人もの疑いを持たないユーザーの個人情報を特定しました。
この脆弱性は、セキュリティ認証の結果がないAmazon Web Services(AWS)S3の設定ミスが原因です。つまり、パブリックデータベースの識別について簡単な知識があれば誰でもデータにアクセスできます。
VPNMentorの調査チームによると、このデータベースはオースティンに拠点を置く会社「キーリング」に属しています。デジタルウォレットを使用すると、クレジットカード、IDカード、パスポート、運転免許証などのドキュメントのデジタルコピーをアップロードして保存できます。ギフトカード等
同社には、プライバシーとセキュリティが脅かされている1,400万を超える顧客がいます。VPN Mentorはブログで、デジタルウォレットが5つのS3バケットを公開していることを明らかにしました。これらのバケットには、番号、有効期限、CVV番号などのクレジットカードデータのコピーを含む非常に機密性の高い情報が含まれています。
1:クレジットカード2:NRA会員カード3:政府発行のIDカード。(vpnMentor経由の画像)
さらに、個人識別情報(PII)も漏洩したデータの一部です。これには、社会保障番号、政府のIDカード、医療保険カード、NRA会員カード、ギフトカード、会員カード、小売クラブの会員カードが含まれます。
漏えいした画像の総数は4,400万個にも上ります。しかし、これで終わりではなく、実際には、データベースは引き続きフルネーム、電子メールアドレス、生年月日、郵便番号、およびキーリング顧客の場所を開示しています。さらに、IPアドレス、暗号化されたパスワード、およびホームアドレスも公開されます。
これらのコンテンツはすべてプレーンテキスト形式です。同社はヨーロッパのユーザーにサービスを提供していないため、GDPRの巨額の罰金に見舞われることはありませんが、北米の顧客に大きな打撃を与えます。
第三者が悪意のある目的でデータベースにアクセスしたかどうかは不明ですが、実際の脅迫や個人情報の盗難詐欺に顧客をさらすことになります。さらに、すべてのクレジットカード番号はプレーンテキストで提供されるため、ハッカーは銀行口座を空にして詐欺を犯す可能性もあります。
- 悪意のあるハッカーがこれらのバケットを発見した場合、キーリングユーザー(および会社自体)への影響は非常に大きくなります。実際、キーリングに通知する前に、他のユーザーがこれらのS3バケットを見つけてコンテンツをダウンロードしたことを確認できません。
- この場合、公開データのみを削除する保護では不十分な場合があります。VPN Mentorチームは、ハッカーがローカルに保存されているすべてのデータにオフラインでアクセスでき、完全に追跡できないことを警告しています。
ただし、誤って構成されたS3バケットがそのような大量のデータを開示したのは、これが初めてではありません。数日前、クラウドストレージプロバイダーは数百万の顧客のデータをプレーンテキストで開示しました。別の事件では、誤って構成されたS3バケットが米軍のソーシャルメディアスパイ活動を公開しました。