ハッカソンを開催する際には、何を望むか慎重になる必要があります。オーストラリアで行われたハッカソンで、ハッカーに提供された大量のサンプルデータからデータ漏洩が発覚したのです。おそらく開発者側の責任でしょう。
問題のイベントは、世界的な旅行代理店であるフライトセンターグループが主催したもので、同社は2017年3月にオーストラリア事業向けに「デザインジャム」と呼ばれるイベントを開催しました。このイベントは、「旅行代理店が販売プロセスにおいて顧客をより良くサポートするためのテクノロジーソリューションを開発すること」を目的としていました。
合計 90 名からなる 16 チームが登録し、1 億 600 万行のデータと 6,121,565 件の個別顧客レコードを含むデータセットへのアクセス権が付与されました。
Flight Centreは、データセットをクリーンアップし、デザインジャマーが生年、郵便番号、性別、予約情報を閲覧できるようにしたと想定していましたが、個人情報は閲覧できませんでした。そして、その真偽を確かめるため、Flight Centreは「データセット内の各データファイルの上位1,000行のサンプル」を検証する担当者を派遣しました。
しかし、各ファイルの行数は 2,800 万行に及び、デザイン ジャムの参加者がデータセットを調べていくうちに、フリー テキスト フィールドにクレジットカード番号があることに気付きました。
ハッカソンを開催しましょう。ただし、あまりうまくいかないことを祈ります
続きを読む
名誉あることに、Flight Centreは侵害を知ってから30分以内に、デザインジャム参加者のデータへのアクセスを制限しました。しかし、より無責任な対応として、アクセスを回復しましたが、フリーテキストフィールドの文字数を10文字に制限しました。
オーストラリア情報コミッショナーのアンジェリーン・フォーク氏は、この事件に関する判決で、フリーテキストフィールドの設計不備と乱用が原因であると結論付けました。この報道はitnews.com.auによって報じられました。
当該フィールドの設計が不適切だったことは明白でした。自由記述欄では、クレジットカード番号やパスポート番号といったデータも除外されていませんでした。従業員に対し、当該フィールドをそのような目的で使用しないよう指示するポリシーが存在していたにもかかわらずです。一部の従業員は明らかにこれらのポリシーに従っていませんでした。
その結果、デザインジャムデータのレコードの0.025パーセントに個人情報が含まれていました。
フォーク氏は、フライトセンターが影響を受けた顧客に可能な限り連絡を取り、新しいパスポートの費用を負担することを申し出たり、クレジットカード詐欺の監視を実施したり、事件後にできる限りの対応を取ったと述べた。そのため、データベースとポリシーの強化、叱責、そしてこのような事態を二度と起こさないよう警告されただけで済んだ。
Flight Centre ではハッカソンの開催を終了しました。®
