ケント州メドウェイ市議会は、 Reg紙の読者からの苦情を受けて、住民の名前、住所、電話番号、電子メールアドレスが漏れていたウェブサイトの穴を塞いだ。
プライバシーに関する失態の中心にあったのは、イングランド南部の議会が作成したオンラインフォームの一部だった。
同評議会の電子フォームは、ケント州全域の複数の団体が協力して「大量の地方自治体サービス内でデジタル技術の利用を促進する方法」を検討したケント・チャンネル移行プロジェクトの中で考案された。
しかし、このキャッシュされたレポート (PDF) によると、リリースが延期されたのはいくつかの「非常に明らかな欠陥」のせいだそうです。ただし、それらの欠陥は、安全でないオブジェクト参照のバグやその他のセキュリティ問題ではなく、「使いやすさと設計」に関するものでした。
4月に市議会はFacebookページで、電子フォームが住民にとって「使いやすくなる」ようになると発表した。
El Regは、これらの脆弱性の少なくとも一部には数値パラメータが設定されており、見たところ、訪問者による書き込みアクセスも許可されていたと認識しています。該当のサブドメインのURLの数字をいくつか変更することで、読者は見知らぬ人の個人データにアクセスでき、先週、この問題を簡単に再現することができました。
ケント州議会、巨大な「ハリウッド」の建設を計画
続きを読む
フォームを管理していると理解している評議会の開発者は非常に反応が良く、The Reg が問題を警告してから 2 日以内に eforms の構成問題を修正しました。
メドウェイ評議会の広報担当者は次のように述べています。「潜在的な問題を認識した時点で、影響を受ける可能性のあるフォームを直ちにウェブサイトから削除しました。この件について初期調査を実施した結果、特定の状況下で影響を受けていたフォームは1つだけであることが判明しました。情報コミッショナー事務局に初期報告書を提出しました。また、このような事態の再発を防ぐため、フォームの技術的問題を完全に解決するための措置を講じました。個人データの保護を確実にするために、あらゆる措置を講じています。」
独立系セキュリティ研究者のポール・ムーア氏はThe Reg紙に次のように語った。「このバグが本番環境にまで到達したという事実は、開発者が安全な開発手法について十分な理解を持っていない可能性を示唆しており、また、彼らの品質保証/セキュリティテスト手順にも疑問を投げかけています。この種のいわゆる「簡単に見つかるバグ」は、最も初歩的なテストで特定されるべきものです。しかし、地方自治体の予算が破産寸前まで圧迫されている状況では、驚くべきことではありません。」
市議会がデータ保護を巡る問題に直面するのは今回が初めてではない。わずか2年前の2017年、この自治体は情報コミッショナー事務局(ICO)からデータ保護研修(PDF)の実施を義務付ける命令に従わなかったとして非難された。この研修自体は2015年の監査中に実施されたものだった。同年、プライバシー監視団体ビッグ・ブラザー・ウォッチは、過去3年間にデータ保護法違反が8件発生したことを明らかにした。
ICOはThe Regに対して、評議会はそれ以来命令に従っていると確認した。
2014年に市議会は、ツイッターのフィードが「メドウェイの住民」を名乗る個人によって乗っ取られ、市税の納付を取り消したなどと告知していたと発表した。
実際に電子フォームを使用した住民が何人いるかは不明だが、エル・レグ氏は多くの電子フォームを目にした。
国家統計局の最新の統計によると、ロチェスター、チャタム、ギリンガムを含むメドウェイ議会管轄区域には約277,616人が居住しています。見どころとしては、チャタム海軍造船所やノーマン・ロチェスター城(1870年代後半に市営庭園建設のため一部が無茶苦茶に破壊されましたが、大部分は良好な状態で保存されています)などがあります。巨石ハンターにとって注目すべきは、この地域には新石器時代初期の長墳墓が1つや2つどころか、なんと6つもあることです。中でも最も印象的なのは、アイルズフォードにある「キット・コティ・ハウス」で、3本の大きな支柱と巨大な頂石を備え、近くには倒れたサルセン石の山の下に小さな埋葬室があります。
紀元前4000年から紀元前3000年頃の2000年代ではなく、21世紀の2000年代に少し近いものをお望みなら、今週ロチェスター城でクレイグ・デイヴィッドの公演があります。
デイヴィッドの不朽の言葉はこうだ。「彼女は私に時間をくれと頼んできた…私は彼女の名前を渡すと約束した。6桁の番号と、明日9時のICOでのデートの約束だ… 」
Reg は先週、メドウェイ評議会と ICO にデータ漏洩を責任を持って開示し、問題が解決するまでこの記事の公開を待ちました。®
