Veeam 社は、何百万もの名前と電子メールアドレスを含むマーケティングデータベースの漏洩について「人為的ミス」のせいだと主張している。
Veeamの共同CEO兼社長であるピーター・マッケイ氏はThe Registerに対し、異なるAWSシステム間の移行後、暗号化されていないMongoDBリソースが誰でも閲覧できる状態になっていたと語った。パスワード保護されていなかったこのリソースは、8月28日から9月10日までの13日間、公開されていた。
セキュリティ研究者のボブ・ディアチェンコ氏がこのリソースを発見し、ストレージおよびデータ管理ベンダーに報告しました。データが隠蔽された後、ディアチェンコ氏は発見内容を公表し、200GBのデータベースにはなんと「4億4500万」ものレコードが含まれていたと報告しました。
Veeam によるその後の調査で、マーケティング データベースには実際には 450 万件の固有のレコードが含まれており、その多くが複数回複製されていたことが判明しました。
ディアチェンコ氏は新たな数字について、「私の調査では、ダンプ全体をダウンロードすることはない(少なくとも今回の場合は)、そのためデータを解析して固有の電子メールアドレスを見つけることができなかったので、修正された数字を実際に確認することも否定することもできない」と述べた。
同社は、この侵害について、顧客やパートナーだけでなく、国際規制当局にも通知した。
マッケイ氏は、リードジェネレーション(つまり、販売見込み客)データベースは4年前に構築されたが、2年半も使用されていないと述べた。
ちょっと待ってください: Veeam データベース構成の不具合により、数百万件の顧客レコードが漏洩
続きを読む
「発見できたはずだが、これは単発のインシデントだった」とマッケイ氏は主張した。エル・レグ氏がVeeamはバックアップセキュリティにおいて模範を示すべきだと示唆すると、マッケイ氏は認めた。「もっとしっかりやるべきだった」
マッケイ氏は、将来同様の問題が発生する可能性を排除できるだろうか?人為的ミスはいつでも再発する可能性があると指摘した。「改善は継続的なプロセスです」とマッケイ氏は述べ、Veeamは今回のインシデントを「学習経験」として活用するつもりだと付け加えた。
Veeamは行動ベースのデータ管理システムを開発中ですが、まだ導入していません。このような惨事を防ぐ方法について同僚にどのようなアドバイスをするかと尋ねられたマッケイ氏は、「油断しないこと」以外にほとんど何も言いませんでした。
クラウドベースのMongoDBデータベースを誰でも閲覧できる状態にし、Shodanなどのツールで検出可能な状態にしておく企業は珍しくありません。サイバー犯罪者は、MongoDBデータベースのコンテンツを削除した後、安全にデータを返却してもらうために法外な料金を請求するという詐欺行為を編み出しています。
マッケイ氏は、MongoDBの仕組みにセキュリティ改善の余地があるかどうかという技術的な質問についてはコメントを控えた。VeeamがNoSQLベンダーから移行するかどうかは、同社の技術者にとって戦略的な問題だとマッケイ氏は述べた。®
