クラウドベースの電子メールマーケティングサービス SendGrid は、顧客の電子メールアドレスを漏らしたことを認め、ページがそもそもなぜ一般公開されていたのかを説明することなく、過剰なインデックス作成のせいにした。
SendGridは10月2日火曜日に送付した情報漏洩通知の中で、「過去9か月間にSendGridプラットフォームのグループ配信停止機能を通じて処理された一部のメールアドレスが、主要検索エンジンを通じて公開された可能性がある」と述べた。
奇妙なことに、メッセージ全体はクロール軽減に関するものであり、そもそもなぜその情報がクローラーに公開されたのかについてではありません。
SendGridの侵害通知[クリックして拡大]
SendGridによると、9月28日金曜日に検知されたこの漏洩は、ハッカーによる不正行為や特定のソフトウェアの脆弱性ではなく、ネットワークの設定ミスによるものとされている。メッセージには、SendGridがデータをログインページの背後に置くなど、そもそも公開していたという事実を修正したという記述は一切なかった。
クラウドマーケティング会社は次のように述べた。
このミスにより、Googleなどの綿密な調査によってメールアドレスが収集された可能性があります。漏洩は、SendGridのグループ配信停止機能を利用していた顧客と、その一部のユーザー(一見すると少数のグループ)からのメールの受信者に限定されていました。しかし、同社は「2017年12月11日から2018年8月17日までの期間に検索エンジンに公開された可能性のあるメールアドレスとSendGridの顧客名を正確に特定することはできなかった」と述べています。
SendGridによると、その他の個人情報や財務データは漏洩していないという。
同社はさらに、「今後、グループ購読解除機能が検索エンジンにクロールされないようにヘッダーを更新した」と付け加えた。同社は、Google、Bingなどと連絡を取り、該当データを削除したと述べ、「今後、検索エンジンによるクロールを確実に防ぐために、複数のプロジェクトに積極的に取り組んでいる」と述べた。
Regは昨日、Sendgridに対し、なぜクローラーに検索結果に情報を表示しないよう求めるのではなく、適切な認証情報を持たない人がページにアクセスできないようにすることに注力しなかったのかと質問しました。回答が得られ次第、更新します。
3 年前、SendGrid は、ハッカーが SendGrid 従業員のアカウントのログイン情報を盗んだ後、SendGrid の顧客および従業員アカウントのユーザー名、電子メール アドレス、および (ソルト化され、反復的にハッシュ化された) パスワードなど、より広範な情報が漏洩したことを認めました。®
