英国全土の近隣監視(NW)グループは、通信プラットフォームの開発者が、大量のデータを漏洩させたウェブアプリのバグを修正したことを知って、安心できるようになった。
ノッティンガムに拠点を置くVISAVは、NWコミュニティの登録メンバーと権限のある管理者の間で安全なメッセージングシステムを提供すると主張するプラットフォーム「Neighborhood Alert」を開発している企業です。
ネイバーフッドアラートは、英国全土の国および地方自治体が推奨するウェブアプリとモバイルアプリを通じて利用できます。ウェブサイトによると、50万人以上のユーザーが利用しています。
3月下旬、あるユーザーがEl Regにセキュリティ問題を報告しました。この脆弱性により、誰でもプラットフォーム上でNWコーディネーターとして登録し、「スキーム」と呼ばれるものを作成できるようになりました。スキームとは、都市などのより広いNWエリア内の15の道路ブロックなどのサブリージョンを指します。プラットフォームのデジタルマップ統合内で任意の大きさのエリアを描画することでスキームを選択すると、スキームを作成したユーザーはそのエリア内のすべてのNWメンバーを確認できるようになります。
問題は、これらのコーディネーターが承認や検証のプロセスを通過する必要がなかったことです。使い捨ての認証情報でサインアップすると、すぐにデータにアクセスできました。
ザ・レジスターの調査により、誰でも偽の名前、メールアドレス、郵便番号を使って登録し、数分以内に英国民のさまざまな個人データにアクセスできることが明らかになった。
スキームを描画した後、未確認のユーザーは、そのエリアに登録されているすべての NW メンバーの詳細を表示するオプションを選択できる。これには、氏名、自宅住所、電子メール アドレス、電話番号 (提供されている場合)、まれにユーザーがアップロードした小さなプロフィール画像などが含まれる。
近隣アラートの地図ベースの地理的集水域セレクター
潜在的なデータ収集者が描画できる地図のサイズに唯一制限があったのは、登録されている地域でした。Neighborhood Alertは、マンチェスター、ケンブリッジシャーなど、英国の各地域向けにカスタマイズされたプラットフォームを提供しています。
グレーター・マンチェスターのプラットフォーム導入に登録した者は、数千人の個人データを一挙に収集する計画を練ることができた。テストによると、他の地域でも同様のことが起きた。
- 下院は、データブローカーを介して国民を監視する米国政府の行為を禁止する法案を可決した。
- チェリーヘルスへのランサムウェア攻撃で18万5千人の機密データがピットに
- EUはMetaに対し、プライバシーを有料化することはできないと通告
- 大幅に拡大されたセクション702の監視権限が米国上院で採決へ
これらのスキームを作成するために使用されたアカウントと同様に、これらのスキーム内に存在するデータにアクセスする前に、そのリージョン内の既存のユーザーまたは管理者による承認を受ける必要はありませんでした。
検索の結果、警察官や国会議員など、公式のメールアドレスを使用して登録している会員が見つかったケースもあり、犯罪者が彼らの住所を特定できる可能性がありました。また、著名人やプライバシーへの期待が比較的高い人物も発見される可能性がありました。
スキーム作成後、審査を受けていないユーザーに表示される近隣アラートメンバーデータ
VISAVの製品ディレクターであり、データ保護の責任者でもあるマイク・ダグラス氏は、The Registerが確認した電子メールで4月15日にこの問題をユーザーに公開し、この欠陥を「セキュリティ上の異常」と呼んだ。
私たちに直接送られた声明の中で、彼はこう述べた。「私たちのシステムが会員のデータにアクセスするために使われていたことを初めて知って以来、私たちはこの問題の解決に向け、オープンかつ透明性のある対応をしてきました。」
この異例の漏洩リスクにより、登録会員の皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。信頼される英国企業として、誠実さと公共の安全は私たちにとって最優先事項です。サイバーセキュリティへの脅威は今や私たちの日常生活の一部となっており、VISAVではデータ保護の義務を非常に真剣に受け止めています。
異常は直ちに修正され、影響を受けていない可能性のある大多数の会員を含む全会員に自主的に通知し、情報提供と指導を行いました。また、当社独自の徹底的な調査を支援し、将来のリスクを防止するため、規制当局にも報告しました。
英国のデータ保護監視機関である情報コミッショナー事務局は、VISAV が自ら報告し、提供された情報は現在評価中であることを確認しました。®
