車購入者の個人情報が大量に流出 | ScanNetSecurity
2024.05.08(水)

車購入者の個人情報が大量に流出

Kevin Poulsen(SecurityFocus)
2003年9月25日 21:03 GMT

国際 海外情報
facebookLINE
Kevin Poulsen(SecurityFocus)
2003年9月25日 21:03 GMT

 少なくても 1000 人の自動車購入者の個人情報および金融情報が一般にアクセス可能な Web サイトに露呈された。コンピュータ・セキュリティ・コンサルタントがこのプライバシー侵害の不具合を発見し、報告した。

 露呈されたサイトは、テネシー州に拠点を置くホスティング会社 Dealerskins 社の管理ページだった。同社は完全な Web ソリューションを自動車販売代理店に提供している。そのページは、パスワードで保護されておらず、非公開に関する警告も含まれていなかった。そして訪問者は autocentersdirect.com および courtesyflm.com のように、Dealerskins 社がホストするサイトの Web フォームに入力された全ての情報を最新順に閲覧できた。

 その保護されていないページの URL は、Dealerskins 社がホストする Web サイトを訪問することで、また HTML ソースコードを閲覧することで割り出すことができる(殆どのブラウザで極めて容易に行える)。

 前述のセキュリティ・コンサルタントが匿名を条件に今回の事件を SecurityFocus に報告した。その後、SecurityFocus はそのページがアクセス可能であり、またそのコンサルタントが述べたように表示されたことを確認し、火曜に Dealerskins 社に連絡を取った。Dealerskins 社は直ちに、そのページを取り下げた。そして同社の社員は、極めて迅速な対応をしたため、問題のページが一般からアクセス可能だったということを納得のいくまで検証する時間がなかった、と主張した。「率直に言うと、我々が想定しているリスク以上のことが発生していると理解するのに 30 秒かかった」と同社の社長 Gabriel Krajicek 氏は語った。

 同社は、流出の危険に晒された記録の数や、前述のコンピュータ・セキュリティ・コンサルタントの前にそれらのデータにアクセスした人物がいたのか否か、またインターネット上でそのデータが露呈された期間に関する言及は避けた。そして水曜にその URL を要求すると、ユーザ名とパスワードを要求するページが作成された。

>> 被害者に衝撃を与える

 同ページに安全策が講じられる前、露呈されたページのメニューには様々な種類のフォームが含まれていた。具体的には、"雇用フォーム" や "車体工場の連絡先" などだ。しかし、最も注意を払うべきフォームは "金融フォーム" だ。
 それには、車の購入予定者が全国にある地域販売代理店の Web サイトで入力したオンラインの借入申込書が保管されていた。

 コンピュータ・セキュリティ・コンサルタントが提供した最新の 10 名の 申込書サンプルには、名前、住所、電話番号、社会保障番号、職業、雇用者、以前の雇用者、身元保証、銀行口座の詳細、収入、在住期間、賃貸料あるいは住宅ローンの額、雇用期間、学歴などが含まれていた。

>> データ流出被害者の反応

 イリノイ州オークウッドにあるマクドナルドのマネージャ Misty Woods 氏は先週、地元 Ford ディーラの金融フォームに記入した。「そこに情報を入力すべきではない、という思いが頭をかすめた。但し、流出のような事件を想定したわけではない。まさか情報を一般にさらすようなことをするとは、思いもしなかった」と同氏。そして、その地元ディーラのことをよく知っていたので、インターネットを介した申込みを他の Web サイトで行うよりも安心感があった、と付け加えた。「私は Courtesy Ford のことをよく知っており、そのページについても問題がないものと思っていた」と述べた。

 イリノイ州ダンヴィル Courtesy Ford のインターネット責任者 Hank Clow 氏は水曜、Dealerskins 社によるデータ流出に関して販売代理店は報告を受けていないので、その件に関するコメントはできない、と述べるに留まった。

 カリフォルニア州の簿記係、Patricia Carr 氏は、あえて特定の Honda 販売代理店を選んだ。理由は、その Web サービスにある。「私の知人が実際に Rock Honda で車を購入して、とても素晴らしかったと言ったの。インターネットで申請が可能で、見積もりも受け取ることができる。とても簡単だと言っていたわ」と同氏。

 そして「今、とてもショックを受けている」と付け加えた。

 カリフォルニア州フォンタナの Rock Honda は、同社の Web サイトを介して Carr 氏の申請を受け取ったことを認めたが、データ流出については知らなかったと述べた。同社のサイトは今月の初めに Dealerskins 社のホスティングに切り替わったと Web 管理者 Rich Enos 氏は説明し、事件に関するコメントを拒否した。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  5. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  6. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  9. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  10. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP