AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register) | ScanNetSecurity
2020.04.06(月)

AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。

国際 TheRegister
ダウ・ジョーンズは、さまざまな社内データベース (たとえばウオールストリートジャーナルの購読者名簿など) をクラウド上で収集し管理する際に必要な、適切なセキュリティ管理を怠ったまま、ベライゾンにサービスを提供した。

そして個人情報が流出したことを、UpGuard 社のクリス・ヴィッキーがこの記事で明るみに出している。

この情報流失の経緯は、ありがちで単純明快なものだ。担当者の誰かが、「関係者にのみ公開」(semi-public access) に設定されているクラウド上のレポジトリー (収納場所) にデータベースを誤って置いたため、「本来保護されるべき、数百万名に上る同社顧客の個人情報ならびに経済的状況」が人目にさらされたのだ。

この記事によれば、「ダウ・ジョーンズは顧客220万名分が影響を受けたことを認めたが、アップガード社の推計によれば、流出したアカウントの数は400万近くに上る」という。

このレポジトリーはAWSのS3バケットの一部だが、その個人情報保護の設定が間違っていた。担当者は認定ユーザーのみが利用できる設定をしたつもりだったのだろうが、ダウ・ジョーンズ社関連のアカウントの保有者だけではなく、すべてのAWS認定ユーザーへの公開になったことには気が付いていなかったようだ。

《The Register》

関連記事

PageTop

特集

アクセスランキング

  1. オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

    オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

  2. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  3. 全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

    全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

  4. 最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出

    最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出PR

  5. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  6. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  7. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  8. “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

    “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

  9. iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

    iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

  10. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

ランキングをもっと見る