独占的なInfosec 研究者が、中国の電子商取引サイト LightInTheBox.com が保有する 1.3TB の Web サーバー ログ エントリに影響するデータ侵害を発見しました。
VPN比較サイトVPNmentorの調査チーム、ノアム・ロテム氏とラン・ロカー氏は11月下旬にこの侵害を発見した。
データは「保護されておらず、暗号化もされていない」状態で、通常のウェブブラウザからアクセスでき、Elasticsearchデータベースに保存されていたが、2人が指摘するように、このデータベースは「通常はURLでの使用を想定して設計されていない」。
「(我々が発見した)データベースはウェブサーバーのログで、2019年8月9日から10月11日までのサイト上のページリクエストとユーザーアクティビティの履歴でした」と2人の研究者はThe Registerに共有した発見に関する声明で述べ、約15億件のエントリが含まれているようだと付け加えた。
サーバーログには、ユーザーのメールアドレス、IPアドレス、居住国、LightInTheBoxのウェブサイトで各訪問者が閲覧したページが含まれていました。また、MiniInTheBox.comを含む同社の子会社サイトのデータも含まれていました。
LightInTheBoxは、ガジェット、衣料品、小物アクセサリーなどの小売商品を販売する典型的なオンライン小売業者です。このサイトは、明らかに中国風のテーマでホームページ下部にスポンサーリンクが掲載されている以外、中国発祥であることを示す手がかりはほとんどありません。
クリックして拡大
The Registerと共有されたコード スニペットは、ユーザーの電子メール アドレスがどのように公開されたかを正確に示していました。
クリックして拡大
侵害されたデータベースには、LightInTheBox.comに加え、MiniInTheBox.comを含む同社の子会社サイトのデータも含まれていました。LightInTheBox自体のサイトには、月間約1,200万人の訪問者がいると言われています。
ロテム氏とロカー氏は、今回のデータ漏洩はLightInTheBoxにとって大きな問題であると述べ、次のように述べています。「今回のデータ漏洩は、LightInTheBoxのデータセキュリティにおける重大な欠陥を示しています。重要なユーザーデータは漏洩していませんが、基本的なセキュリティ対策がいくつか講じられていません。ブラックフライデー、サイバーマンデー、クリスマスなど、オンラインショッピングが盛んな時期です。たとえユーザーの個人情報が漏洩していなくても、大規模な漏洩はLightInTheBoxとその顧客の両方にとって脅威となり得ます。」
ユーザーの電子メール アドレスと正確な閲覧履歴にアクセスできれば、悪意のあるグループは、たとえば LightInTheBox 自体からのフォローアップ メッセージに見せかけて、以前閲覧した製品の割引をオファーする、標的を絞ったフィッシング メールを簡単に作成できます。
LightInTheBox のオンライン プライバシー ポリシーには、次のような一文が埋もれています。「弊社の事業はお客様の個人情報の保護を念頭に置いて設計されていますが、現時点ではオンラインでもオフラインでも 100% のセキュリティはどこにも存在しないことをご承知おきください。」
まさにその通りです。vpnMentorの調査結果の詳細は同社のウェブサイトに掲載されます。
LightInTheBoxはロテム氏とロカー氏の問い合わせには応じなかったものの、ニューヨーク証券取引所に上場する中国企業である同社が情報を入手した直後に侵入は封鎖された。El Regは、顧客アカウントを登録してサポートチケットを発行する以外に、LightInTheBoxに連絡する方法を見つけることができなかった。®
