英国の人気オンライン専用銀行 Monzo は、顧客の暗証番号をログファイルに平文で保存していたことが判明し、数十万人の顧客に対し、新しい PIN を選択するよう呼びかけている。
その結果、銀行の顧客の5分の1にあたる48万人が、現金自動預け払い機に行って暗証番号をリセットしなければならなくなった。
同銀行によると、通常は厳重に管理され、アクセスが極めて制限されているこれらの番号が、誤ってログファイルに保存されていたという。ログの内容は、通常は権限がなく、顧客のPIN番号を見る必要もない約100人のMonzoエンジニアがアクセスできた。
PINは、「カード番号リマインダー」と「定期注文のキャンセル」機能を利用した顧客の記録に残されていました。技術的には、ログファイルは暗号化されていたようです(おそらく保存時に暗号化されていたのでしょう)。しかし、多くのエンジニアがログファイルとPINのロックを解除して閲覧することができたため、実質的にはスタッフ向けに平文で保存されていたことになります。
Monzoの説明によると、誤った設定のログとPINが発見されたのは金曜日の夕方だった。土曜日の朝までに、英国の銀行はモバイルアプリを更新し、新しいPINがログ収集装置に送信されないようにした。月曜日には、ログに記録された最後のデータが削除された。
モンゾは顧客を安心させるために「モンゾの外部の者は誰もこれらの暗証番号にアクセスできなかった」と述べた。
「このバグの影響を受けたすべてのアカウントを徹底的に調査し、その情報が詐欺に使用されていないことを確認しました。」
Facebookの不運の輪を回そう!カチカチカチ…カチカチ…当選したのは「平文で保存された数億件のパスワード」
続きを読む
Monzo社によると、ログにPIN番号が漏洩した人には、コードの変更を促すメッセージが表示されるとのことです。変更するには、顧客はATM(アプリ対応のMonzo社には実店舗はありません)に行き、「PINサービス」メニューから新しい番号を選択する必要があります。
Monzo は銀行の外部の誰もコードを見ることができなかったと主張しているが、何か疑わしい点が見つかった場合に備えてアカウントのアクティビティを監視しておくのは悪い考えではないだろう。
さらに、銀行に口座を持つすべての人に、Android および iOS アプリを最新バージョンに更新し、PIN がログ ファイルに入力されないようにすることが推奨されています。
この失態は英国の新興銀行サービスにとって痛手となるが、Monzoにとっては幸運なことに、はるかに大きな銀行プライバシー侵害の後に起きた。Capital Oneは現在、1億600万人分の個人情報の不適切な取り扱いで訴訟を起こされ、議会公聴会の可能性もあるため、数件のPINコードの不適切な取り扱いがニュースで大きく取り上げられることはないだろう。®
