データ復旧およびバックアップ企業 Veeam のサーバーの設定ミスにより、数百万件の電子メール アドレスが公開されました。
リールトーク:オフラインで安全に保管できるものって何?それはテープ。データ保護会社VeeamがQuantumと契約
続きを読む
セキュリティ研究者のボブ・ディアチェンコ氏は、Veeamに通知する前に、メールアドレス、氏名、そして(場合によっては)IPアドレスを含む200GBのキャッシュを発見しました。サイバー犯罪者の手に渡れば、スパムや(おそらく)フィッシング攻撃に容易に利用される可能性があったこのリソースは、その後オフラインにされました。
ディアチェンコ氏は、マシンデータおよびIoT検索エンジンであるShodanを用いて、AmazonがホストするMongoDBリソースを発見した。2013年から2017年の間に収集されたと思われるデータは、パスワード保護も暗号化もされていなかった。ディアチェンコ氏は当初、侵害された記録数を4億4500万件と見積もったが、災害復旧専門企業の規模を考えると、この数字はやや信じ難い。今年1月、Veeamは投資家に対し、顧客基盤が28万2000社に上ると発表していた。
つい先月、データ保護会社はテープストレージ企業Quantumと提携し、統合型テープアプライアンスを開発すると豪語していました。皮肉なことに、テープは「オフライン」ストレージメディアであるという立場から、この機器を顧客に「データ保護のベストプラクティス」として推奨していました。機密情報を「物理的にネットワークに接続しない」といった対策は、確かにデータ保護のための確固たる行動計画の一部であり、ネットワーク化が必要な情報を暗号化、あるいは少なくともパスワードで保護するといった対策と似ています。ああ、データ保護の専門家に相談すべきだったのかもしれませんね…
El Reg 社は、明らかに不注意によるサーバー漏洩のトラブルについて Veeam 社にコメントを求めた。
Veeam は定型文で、紛失したデータベースは現在アクセスできないことを確認し、セキュリティを真剣に受け止めているという、侵害発生時の標準的な企業スローガンを言い添えた。
Veeam 社は現在この大失態を調査中であるため、公開された電子メールの数についてはコメントを拒否した。
関連するテクノロジーニュースでは、セキュリティ保護されていないインターネットアクセス可能なMongoDBデータベースが、その後法外な金額を要求する犯罪者によって消去されている。被害者の中には、いわゆる「Mongo Lock」詐欺で要求された身代金を支払った者もおり、この詐欺に関連するビットコインウォレットへの資金の入金がそれを裏付けている。®
