オランダのサイバーセキュリティ企業 Neo Security によると、同社の主任研究員が最近、会計・コンサルティング大手 EY が所有する 4 TB 超の SQL Server バックアップファイルがウェブ上に晒されているのを発見したという。これにより同社の機密情報が事実上漏洩していた。
Neo Security の報告書によれば、この BAK ファイル(SQL Server のデータベースバックアップファイル形式)のデータには「API キー」「キャッシュされた認証トークン」「セッショントークン」「サービスアカウントのパスワード」および「ユーザー資格情報」などが含まれていた。
「インターネット上に晒された 4 TB の SQL バックアップを発見するということは、『ご自由にお持ちください』という張り紙付きで、金庫の設計図と鍵がそこに置かれているのを見つけるようなものだ。侵入に必要な情報は全て揃っている」と同社は述べている。
「(Neo Security の主任研究員は)これよりずっと少ない容量の情報漏えいから始まった侵害事件を調査したことがある。はるかに少ない情報だ。彼はかつて、データベース接続情報が記載された web.config ファイルたったひとつの漏洩を発端にして発生したランサムウェア事件全体の経緯を遡って追跡したことがあるが、その web.config ファイルの容量はたった 8 KB だった。今回は 4 TB の容量である」
