AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register) | ScanNetSecurity
2024.03.28(木)

AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。

国際 TheRegister
ダウ・ジョーンズは、さまざまな社内データベース (たとえばウオールストリートジャーナルの購読者名簿など) をクラウド上で収集し管理する際に必要な、適切なセキュリティ管理を怠ったまま、ベライゾンにサービスを提供した。

そして個人情報が流出したことを、UpGuard 社のクリス・ヴィッキーがこの記事で明るみに出している。

この情報流失の経緯は、ありがちで単純明快なものだ。担当者の誰かが、「関係者にのみ公開」(semi-public access) に設定されているクラウド上のレポジトリー (収納場所) にデータベースを誤って置いたため、「本来保護されるべき、数百万名に上る同社顧客の個人情報ならびに経済的状況」が人目にさらされたのだ。

この記事によれば、「ダウ・ジョーンズは顧客220万名分が影響を受けたことを認めたが、アップガード社の推計によれば、流出したアカウントの数は400万近くに上る」という。

このレポジトリーはAWSのS3バケットの一部だが、その個人情報保護の設定が間違っていた。担当者は認定ユーザーのみが利用できる設定をしたつもりだったのだろうが、ダウ・ジョーンズ社関連のアカウントの保有者だけではなく、すべてのAWS認定ユーザーへの公開になったことには気が付いていなかったようだ。

《The Register》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る