セキュリティ研究者によると、米国の信用修復企業である全米信用連盟は、数千人の機密性の高い個人情報111GBをインターネット上に公開したという。
またしても AWS S3 の設定ミスで、アメリカ人の名前、住所、生年月日、運転免許証や社会保障カードの写真、Equifax、Experian、TransUnion の信用報告書、詳細な財務履歴、クレジットカード番号や銀行口座番号がすべて無防備なまま放置され、悪意のある人物に見つけられてしまったと主張されています。
情報セキュリティ企業Upguardが今週発表したところによると、信用スコアに関する支援を求める最大4万人の記録がAmazonのクラウド上で閲覧可能だったという。このデータストアは、なりすまし犯や詐欺師にとって宝の山だったはずだが、悪意ある人物によって情報が盗まれたという証拠はない。
米軍のソーシャルメディアスパイ活動に関する膨大なアーカイブがAWS S3バケットに公開されたまま
続きを読む
「考え得る限り最も機密性の高い個人情報や財務情報が詰まったこの種のバケツが、全く安全対策を講じられずに、最初に発見した悪者に見つかるのを待っている状態が、あとどれだけあるのだろうか?」とアップガード社のダン・オサリバン氏は疑問を呈した。
「これらの人々のデータがまったく保護されていないこと、インターネットユーザーが情報を検索しダウンロードする手段が驚くほど簡単であること、そしてそこに含まれる情報の機密性の高さは、今日のサイバーレジリエンスを促進する上での真の課題を物語っています。
「この種のクラウド漏洩やデータ露出のパンデミックを確実に阻止するために、企業は自社システムの完全な可視性と制御に時間とリソースを真剣に投資する必要がある。」
NCFの広報担当者はコメントを得られませんでした。ストレージサイロは、Upguardが10月に警告を発した後、セキュリティが確保され、一般公開されていない状態になったようです。Amazonは11月に、AWSの顧客が誤ってS3バケットを公開設定した場合に自動的に警告する措置を講じました。®
