Macos Brawte nfaq 0 Comments

1ヶ月間オンラインのままだったデータ漏洩の奇妙な事件

Table of Contents

1ヶ月間オンラインのままだったデータ漏洩の奇妙な事件

数週間前、ジェフ* は、あまり有名ではないにせよ、ほとんどの IT プロフェッショナルに確実に知られている大手エンタープライズ テクノロジー ベンダーのシンガポール支店での仕事を辞めました。

その後間もなく、彼は以前の勤務先の従業員ID番号をGoogleで検索したところ、最初の結果が、その会社のシンガポールの給与明細が含まれていることを示唆する名前のスプレッドシートへのリンクであることに驚き、不快な思いをした。

最初のクリックで404エラーが表示され、ようやく安堵した。しかし、ITに詳しいジェフは、Googleがファイルをキャッシュしているかどうか知りたかった。

残念ながら、彼の予感は正しかった。スプレッドシートを開くと、160人以上の従業員の名前、給与、自宅住所、銀行口座の詳細が漏れ出ていた。婚姻状況まで記載されていたのだ。

さらに悪いことに、スプレッドシートによると、従業員の給与は性別や出身地によって大きく異なっていました。女性従業員の給与が低いだけでなく、外国人駐在員はシンガポール人従業員よりもはるかに高い給与を受け取っていました。多様性への意識が高まっている昨今、このスプレッドシートは企業の評判を落とす悪夢となる可能性を秘めていました。

ジェフは自分のID番号だけに問題があるのではないかと考え、他の従業員のID番号も試してみました。すると、すぐに同じキャッシュされたスプレッドシートが表示されました。

その時点でジェフは元雇用主に苦情を申し立て、The Registerに連絡しました。

ああ、顔面を手で覆って、何だって?

漏洩したデータの見つけ方に関する彼の主張を検証するのは簡単でした。ジェフの元雇用主は、侵害を認識しており、従業員に通知して支援を申し出たとすぐに報告しました。この多国籍企業は、侵害の発生源を明かすことは拒否しましたが、従業員は侵害は自社の責任ではないと確信しており、第三者の責任もあると示唆しました。

Googleが生成したURLにはシンガポールのサービスプロバイダのドメイン名が含まれていたため、結論付けるのは難しくありませんでした。そのURLには、テストおよび開発サーバーがインターネットに公開されていることを示唆するディレクトリ名が含まれていました。

このようなミスは単なるミスで起こる可能性もありますが、シンガポールのサービスプロバイダーによると、原因はランサムウェア感染によってサーバーのセキュリティ設定がリセットされたとのことです。サーバーの修復作業中に、スタッフはサーバーが安全でない状態になっていることに気づき、修正を行い、データがパブリックWebからアクセスできないようにしました。

おそらく、終末後の未来で、血が顔から流れ落ちる中、ラップトップを持つゾンビ女性...

あなたは会社のクラウドセキュリティを担当するIT担当者です。地獄へようこそ

続きを読む

サービスプロバイダーは、Googleにも連絡を取り、漏洩したデータが世界に公開されないようにキャッシュを消去するよう要請したと報告しました。2018年1月9日までに、サービスプロバイダーのITスタッフは、セキュリティが回復し、個人データがアクセスできなくなったことを確認しました。

残念ながら、彼らの考えは間違っていました。ジェフは2月5日の週にThe Registerに連絡し、その後すぐに個人データを閲覧することができました。

そこでGoogleに、キャッシュのフラッシュリクエストに対するサービスレベルについて問い合わせたところ、Googleは個別のケースについてはコメントできないと回答し、「古いコンテンツを削除する」方法に関する手順を参照するよう指示しました。また、その手順書には個人情報を削除するには法的削除リクエスト機能があると説明されていると指摘しました。しかし、キャッシュからデータを削除するリクエストに対してGoogleがどのように対応するかについては、明確な説明がありませんでした。

勝ったのはエル・レグですか?

The Register がシンガポールのサービス プロバイダーに質問を開始して間もなく、キャッシュされたデータは消え、1 月初旬に Google にキャッシュのフラッシュを依頼したというサービス プロバイダーの主張に少なからず疑念が残ることになった。

調査の結果、シンガポールのサービスプロバイダーはランサムウェア対策を講じるべきであり、多国籍テクノロジー企業は給与データへのアクセスを許可する企業に対し、より適切なデューデリジェンスを実施すべきであったと断言できます。セキュリティのベストプラクティスでは、セキュリティはパートナーの許可によってのみ確保されるという認識が古くからあります。セキュリティチェーンの弱点が一つでもあれば、組織を崩壊させるのに十分な可能性があります。

しかし、そのチェーンを検討する際には、Web の巨人やその善意ではあるものの明らかに危険なキャッシュの空想的な性質も考慮に入れる必要があるかどうかは不明です。®

*実名ではありません。また、関係企業名や個人情報へのアクセス方法の詳細も公表していません。これは、侵害が完全に解決されたとは到底言えず、個人情報が漏洩した方々がさらなるリスクを負うべきではないと考えているためです。

Macos

Smart Recommendations

Discover More