たとえ今回の場合が比喩的なものであったとしても、船の操縦者が違反について話すのは決して良いことではありません。
ブリタニー・フェリーズは、一部の顧客に対し、「定期的な」ウェブサイトメンテナンス後に発生した予期せぬ技術的不具合により、アカウントが完全に無防備な状態となり、リンクされたメールアドレスを知っている人に非常に機密性の高い情報が漏洩する可能性があると伝えた。
英国からスペイン、フランス、アイルランドの港へ船を運航するこの運航会社は、火曜日に乗客に対し「ブリタニーフェリーのマイアカウントに影響を及ぼす可能性のある、当社のデータへの侵害」についての悪い知らせを伝えた。
「弊社のサイバー警戒と厳格なセキュリティチェックにもかかわらず、お客様のアカウントの保護設定が今年10月21日から11月2日の間に意図せず変更されたことをお詫び申し上げます」と、ブリタニーフェリーのデータ保護責任者アンヌ・ローレ・ファーブル氏は述べた。
今月2日目に、彼女はこう付け加えました。「マイアカウントのログイン情報に使用される認証プロセスに不具合が見つかりました。この不具合により、正しいパスワードを入力しなくてもマイアカウントにアクセスできてしまう状態でした。このエラーは10月21日のウェブサイト定期更新時に発生しました。不具合が発覚した直後、当社のエンジニアとセキュリティチームは直ちに作業を開始し、発見されたその日のうちに問題の診断と解決を行いました。」
2019年にフランスのウイストルアムから到着したブリタニーフェリーの船
ブリタニー・フェリーズの広報担当者は、The Reg紙に対し、更新プロセスでテスト手順が省略されていたと述べた。「すぐにパッチが適用され、問題は同日中に解決しました。現在、ウェブサイトの更新が行われるたびに適切なパスワードテストが実施されるよう、手順が更新されています。」
結局、顧客の「マイアカウント」ポータルに紐づけられたメールアドレスを知っている人物は、その人物の名前、住所、電話番号、過去6か月間の予約履歴、パスポート番号、生年月日、国籍(10月または今月初めに追加された場合)にアクセスできた可能性がある。
ファブレ氏は、「専門家」から「悪意ある介入のリスクは非常に低く、あなたのデータが侵害されたという証拠は全くありません。このような事態が発生したことをお知らせし、お詫び申し上げます」と保証されたと述べた。
- 裁判官は、同じくスコットランドに宇宙港を建設したいと考えている億万長者のスコットランド宇宙港建設反対を却下した。
- 「パースへようこそ」の笑いが最大限に利用されている
- リバプールを避けるのが目的だった。世界で唯一の動く水道橋に乗り込もう
- 英国のデータ流出者に罰金、しかし執行は遅れる:ICOの罰金500万ポンドはまだ支払われていない
- ズーム政治:ウェールズ議員、新型コロナウイルスパスポート規則変更の採決を欠席、IT部門を非難
また、データ保護担当者は、「念のため」パスワードを更新しておくのも良いかもしれないと付け加えた。
情報漏洩に巻き込まれたある顧客は、身元偽造に利用される可能性のあるパスポートデータが不正アクセスされた可能性があることに「がっかり」したと語った。しかし、ブリタニー・フェリーズは「実際にそれが起こったかどうかは言えないようだ。ログ記録のリクエストはどうなったのか?」
同社の広報担当者は、データへのアクセスについて苦情を申し立てた顧客はいないと述べた。少なくとも今のところは。約2万5000人の顧客情報がアクセスされた可能性があると彼は認めた。
繰り返しになりますが、通知の理由は慎重さと適切な対応です。1) 当社が問題を発見したこと、2) いかなる悪意のある外部活動も行われた兆候がないこと、3) 当社が迅速に問題を解決し、もちろん当局にも通報したことを考慮すると、悪意のある攻撃の可能性はほぼゼロだと考えています。すべてのお客様には、パスワードの変更をお願いしております。
ICOの広報担当者は、ブリタニー・フェリーズからの漏洩はまだICOに報告されていないと語った。「組織は、人々の権利と自由にリスクをもたらさない限り、個人データ漏洩を認識してから72時間以内にICOに通知する必要があります。」
「組織が違反を報告する必要がないと判断した場合、その記録を独自に保管し、必要に応じて報告しなかった理由を説明できるようにする必要があります。」
「個人データを利用するすべての組織は、安全かつ確実に個人データを利用する必要があります。データの取り扱いについて懸念がある場合は、当社までご報告ください。」®
