英国の水供給会社 Southern Water 社は、社内での Sharepoint の導入をひどく失敗し、顧客が他人のアカウントの詳細を閲覧できる状態になってしまいました。
Reg読者の Chris H 氏は、Southern Water が顧客情報を Web サイトの「あなたのアカウント」スタイルのセクションとしてホストするように Sharepoint を設定していたため、URL を微調整して他の人のアカウント情報を表示できる状態になっていたことを発見しました。
「残念ながら、この管理領域に脆弱性があり、ログインした顧客は誰でも他の顧客の請求書や文書を閲覧できるだけでなく、認証トークンを取得して社内の請求SharePointサイトに直接APIアクセスすることができました」とクリスはこの問題に関するMediumブログ記事に書いている。
顧客ポータルを通じて読み込まれた PDF には、次のような URL 文字列が含まれていました。
https://youraccount.southernwater.co.uk/eservices/getpdfcorrespondence?correspondenceUrl=https://[redacted].sharepoint.com/sites/[redacted]/12/09_12_0_s1/[redacted].pdf
curl とデフォルトの Sharepoint URL スキーマを少しいじってみると、Chris の言葉を借りれば「他の顧客の通信へのリンクがいくつか返されました」。
「社内システムに対して、ユーザーが認証済みの不明な呼び出しを行うことを決して許可してはいけません」と彼は記した。これらのSharePoint URLには認証が強制されていなかったため、クリスは別の顧客の「氏名、住所、顧客アカウント番号、支払い参照番号、請求書と支払い日、口座残高、支払い金額、請求額、メーターの詳細、メーターの読み取り値」を閲覧できた。
サザンウォーターは、計画、ガバナンス、内部統制のシステムを浄化するためにITサービスに5000万ポンドを投入する。
続きを読む
クリスが指摘したように、公開URLを改変して公開サーバー上の他の情報を閲覧することは、一般的なITセキュリティの範疇である「サーバーサイドリクエストフォージェリ」に該当します。詳細については、Open Web Application Security Projectがこちらで解説しています。「フォージェリ」という言葉を聞くと、公開サーバー上にホストされているリソースをリクエストすることはまるでフォートノックスへの侵入のように思えますが、英国をはじめとするほとんどの西側民主主義国では、そのような行為は違法ではありません。
その後、この問題は解決されており、サザン・ウォーターはレジスター紙に次のように語っている。「当社は顧客データの保護を非常に重視しており、システムを厳格にテストし、顧客情報を保護するための強力な対策を講じています。」
クリスはまた、サザンウォーターからの電子メールも見せてくれた。その中で同社は、この失態を知らせてくれたことへの感謝を述べ、彼に対して「現在」法的措置を取るつもりはないと保証していた。これは同社の広報担当者がレジスター紙との電話会話で言及していたことだ。
セキュリティ上の失敗を責任ある形で公表した人を脅迫するという慣行は、バグ報奨金制度や適切な侵入テストが主流となり、IT 業界ではとっくに廃れています。おそらく他の業界では、いまだに追いつこうとしている段階なのでしょう。®
