セキュリティ企業のKromtechは、集団が大量のデータキャッシュを無防備な状態で公共のインターネット上に放置していた、さらに恥ずべき、そして潜在的に危険な事例を2件発掘した。
最初のケースでは、犯人は、バージニア州バージニアビーチに拠点を置く政治ロボコール会社 Robocent が所有および運営する、不適切に構成された AWS S3 バケットでした。
クロムテックの広報責任者ボブ・ディアチェンコ氏によれば、ストレージバケットには有権者へのロボコールで使用される音声ファイルや、米国の有権者数十万人の連絡先詳細を含むスプレッドシートなど、2,594個のファイルが含まれていたという。
これらの記録には、有権者の名前、住所、生年、電話番号、政治的所属、民族や教育レベルなどの人口統計情報が含まれており、これらはすべてスピアフィッシングやソーシャルエンジニアリング詐欺に使用する価値のあるデータです。
残念ながら、状況はさらに悪化しているとディアチェンコ氏は述べた。他のサイトがすでに漏洩したデータを収集し、インデックス化しているようだ。
「さらに気がかりなのは、この会社の自社名を冠したバケットが、現在 48,623 個のオープン S3 バケットのリストが掲載されている検索可能なデータベース、GrayhatWarfare によってインデックス化されていることだ」と Diachenko 氏は説明した。
もちろん、クロムテックが暴露した2件目の事件では、有罪判決が下れば数人が刑務所に入る可能性がある。
スクレイピングされた数百万件の公開ソーシャルネットプロフィールが、AWS S3 ボックスに残されたまま
続きを読む
研究者たちは、クレジットカード番号と支払い情報の両方を含む、公開されたmongoDBインスタンスを発見しました。さらに調査を進めると、Facebookや盗まれたメールアカウントのデータ、そして仮想通貨によるアプリ内購入を提供するフリーミアムゲームの情報が大量に見つかりました。
最終的に、研究者たちは何が起こっていたのかを解明することができました。盗まれたクレジットカード情報と盗まれたデータを組み合わせることで、数百台のジェイルブレイクされたiPhoneにApple IDが設定され、それらのApple IDは自動的に無料ゲームのインストール時にユーザーアカウントを作成できるようになっていたのです。そして、偽のゲームアカウントはゲームのアプリ内通貨を購入し、他のプレイヤーに暗号通貨や現実世界の通貨と交換して転売されていました。
言い換えれば、詐欺師たちはジェイルブレイクした携帯電話で偽のゲームアカウントを使用し、フリーミアムゲームを介して盗んだ決済カードから資金を洗浄していたのだが、詐欺を実行した犯罪者はデータベースを保護しなかったため、その操作全体が一般の人々に公開されたままになっていたのだ。
クロムテック社は、刑事捜査を開始できるよう、調査結果をすべて米国司法省に報告したと述べた。®
