またしても、Amazon がホストするクラウド ストレージ バケットの設定ミスが発見されました。このバケットにより、約 1 億 2,300 万のアメリカの世帯の個人情報が、インターネットを利用するすべての人に公開されることになります。
この公開データベースは分析企業のAlteryxの所有物であり、そのセキュリティ不備は情報セキュリティ企業のUpGuardによって発見され、報告された。
安全でない設定のAWS S3サイロには、Alteryxが信用調査会社Experianから取得したレコードと、2010年アメリカ国勢調査データが含まれていました。国勢調査のレコードは公開されていますが、Experianのデータセットは商用ではあるものの、公開されていません。
UpGuard によると、S3 バケットには「自宅住所や連絡先情報から、住宅ローンの所有権や財務履歴、購買行動の非常に具体的な分析まで」が含まれていたという。
もちろん、この個人データはなりすまし犯やその他の詐欺師に悪用される可能性がありました。その後、このサイロは閉鎖されました。
マーケティング
「国勢調査のデータは完全に公開されている統計と情報から構成されているが、他の企業に販売されているエクスペリアンのコンシューマービューマーケティングデータベースには、公開されている詳細情報とより機密性の高いデータが混在している」とアップガードのダン・オサリバン氏は水曜日に説明した。
「総合すると、公開されたデータは、事実上すべてのアメリカの世帯に関する何十億もの個人識別情報とデータポイントを明らかにする。」
UpGuard の研究者であり、AWS S3 侵害ハンターとして有名な Chris Vickery 氏は、10 月初旬にこの脆弱なインスタンスを発見し、Alteryx が S3 バケットのプライバシー設定を変更して、AWS アカウントを持つすべてのユーザーがデータを閲覧できるようにしていたことを発見しました。
ヴィッカリー氏は、クラウドホスト型リポジトリに侵入し、多数のソフトウェア開発ファイルに加え、Alteryxが分析サービスの運用に使用しているデータが含まれていることを発見した。これには、エクスペリアンの信用報告書から抜き出された多数の詳細情報も含まれていた。
「数千万行のそれぞれの行は異なる米国世帯を表しており、相互にインデックス化された248の列は、各世帯の既知またはモデル化された個人情報、嗜好、そして幅広いカテゴリーにわたる行動をまとめています」とオサリバン氏は述べています。「こうしたデータポイントを入力するフィールドは合計35億を超えますが、このインデックスがもたらす非常に詳細な洞察は、まさにエクスペリアンがConsumerView製品で提供しようとしているものそのものです。」
この設定の失敗は、AWS の管理がまずかったために人々の個人ファイルがインターネット上に流出したもう一つの例です。
AWS S3バケットの漏洩問題に対するAmazonの回答:ダッシュボードの警告灯
続きを読む
同じ問題により、共和党全国委員会のデータベースで約 2 億人の有権者の情報が漏洩したとされ、シカゴ市では、S3 インスタンスが完全にオープンになったことで 180 万人の住民の詳細がオンラインに流出した。
AWS はデフォルトで S3 アクセスを許可されたユーザーのみに制限していますが、多くの企業は、AWS アカウントを持つすべてのユーザーがアクセスできるようにバケットを設定するという、より便利な方法を選択しています。
「簡単に言えば、新しく作成したメールアドレスを使用して [無料の] AWS アカウントにダミーサインアップするだけで、このバケットの内容にアクセスできるようになります」とオサリバン氏は言う。
一方、Alteryx 社は、同様の IT 上の失敗が二度と起こらないように対策を講じたと述べています。
「この問題を発見した際、当社はAWSからファイルを削除し、ファイルが保存されていたAWSバケットにさらなるセキュリティ層を追加しました」とCEOのディーン・ストッカー氏は述べた。
「今後、お客様に提供するすべてのデータセットに対して、同様のレベルの強化されたセキュリティを維持します。」®
