拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2018-02-16 セキュリティニュースまとめ: Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい

Amazon S3 にパスワード保護なしで保存されていた FedEx の顧客情報が漏えい

元記事

www.techrepublic.com

概要

  • パスワード保護すらない状態で Amazon S3 ストレージサーバー上に FedEx 顧客情報が放置されており、個人の ID カード、履歴書、請求書などが含まれていた
  • 漏えいしたファイル数は 119,000 件以上。ストレージクラウド利用上のサイバー衛生問題が浮き彫りに
  • クラウドストレージ上に保存したデータをセキュリティへの認識不足が原因で漏えいさせた企業は他にも多数
  • いずれの企業もセキュリティを考慮しない設定ミスが漏えいの原因
  • 最初の報告者は Kromtech 社のセキュリティリサーチャー
  • クラウド化を推進したいあまり、サービスが提供しているセキュリティ設定やその限界について意識することなく利用してしまう企業が多い

詳細

  • 漏えいを引き起こした会社は 2014 年に FedEx が買収した Bongo という子会社で、発送料を計算するサービスを提供している
  • 漏えいしたファイル数は 119,000 またはそれ以上
  • 発送料を計算するというサービスの性質上、顧客は住所情報に加えて身分証明に関する情報を提供しており、こうした情報がストレージ上に放置されていた
  • 漏えいしたレコードに含まれていた顧客の居住地域は、米国、アジア、オーストラリア、ヨーロッパ、中東
  • 漏えいした情報の修理は運転免許証、勤務先の ID カード、請求書、投票カード、履歴書、保険証、クレジットカード、各国軍関係者の ID カードなど
    • 「サンプリングされた軍関係者の ID の情報から、オランダ国防省の上級職員に関する詳細情報を確認できた」
  • 漏えいしたデータの期間は 2008 年 ~ 2015 年まで
  • ZDNet から FeDex へ当該インシデントについては連絡がなされ、ただちにデータは保護された
    • FedEx は継続調査するむね ZDNet に連絡