AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register) | ScanNetSecurity
2024.06.26(水)

AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。

国際 TheRegister
ダウ・ジョーンズは、さまざまな社内データベース (たとえばウオールストリートジャーナルの購読者名簿など) をクラウド上で収集し管理する際に必要な、適切なセキュリティ管理を怠ったまま、ベライゾンにサービスを提供した。

そして個人情報が流出したことを、UpGuard 社のクリス・ヴィッキーがこの記事で明るみに出している。

この情報流失の経緯は、ありがちで単純明快なものだ。担当者の誰かが、「関係者にのみ公開」(semi-public access) に設定されているクラウド上のレポジトリー (収納場所) にデータベースを誤って置いたため、「本来保護されるべき、数百万名に上る同社顧客の個人情報ならびに経済的状況」が人目にさらされたのだ。

この記事によれば、「ダウ・ジョーンズは顧客220万名分が影響を受けたことを認めたが、アップガード社の推計によれば、流出したアカウントの数は400万近くに上る」という。

このレポジトリーはAWSのS3バケットの一部だが、その個人情報保護の設定が間違っていた。担当者は認定ユーザーのみが利用できる設定をしたつもりだったのだろうが、ダウ・ジョーンズ社関連のアカウントの保有者だけではなく、すべてのAWS認定ユーザーへの公開になったことには気が付いていなかったようだ。

《The Register》

特集

関連記事

PageTop

アクセスランキング

  1. 発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

    発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

  2. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  3. 大田区の委託先にランサムウェア攻撃、がん検診受診券の画像データが流出した可能性

    大田区の委託先にランサムウェア攻撃、がん検診受診券の画像データが流出した可能性

  4. 応募〆切 来週 7月3日(水)|参加費無料|東京都の CSIRT 構築と IT-BCP 策定支援事業 誌上説明会

    応募〆切 来週 7月3日(水)|参加費無料|東京都の CSIRT 構築と IT-BCP 策定支援事業 誌上説明会PR

  5. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

ランキングをもっと見る
PageTop