更新:マーケティング テクノロジー企業の保護されていない MongoDB データベースにより、最大 8 億 900 万件の電子メール アドレス、電話番号、ビジネス リード、および個人情報の一部がインターネット上に公開されていたことが昨日明らかになりました。
しかし今日では、そのセキュリティ上の失策の範囲は過小評価されていた可能性があるようだ。
サイバーセキュリティ企業のダイナリスクによると、インターネットに公開されたデータベースは、以前報告されたものの1つだけではなく4つあり、レコードの総数は150GBではなく196GBに達する可能性がある。
ネット上のどこを見ればよいかを知っている人なら、認証なしでそのデータをすべて見つけ出し、抜き出すことができたはずです。
「ウェブに公開されていたサーバーが1台ありました」と、DynaRiskのCEO兼創設者であるアンドリュー・マーティン氏は金曜日にThe Register紙に語った。「このサーバーには4つのデータベースがありました。当初の発見では、…の記録が分析されましたmainEmailDatabase。残りの3つのデータベースは同じサーバー上にホストされていましたが、現在はアクセスできません。」
「私たちの分析は4つのデータベースすべてに対して実施され、20億以上の電子メールアドレスが抽出されました。これは、最初に議論された8億900万を超える数です。」
これらのデータベースは、企業向けメール検証サービスを提供するVerifications.ioによって運営されていました。同社は、マーケティング担当者がメーリングリストに登録されているメールアドレスが有効かつアクティブであることを、営業活動を開始する前に確認できるサービスを提供しています。Verifications.ioのウェブサイトは現在アクセスできません。
最初に報告されたデータベースには以下のデータ フィールドが含まれていましたが、その一部 (生年月日など) はさまざまなデータ法の下で個人情報として扱われます。
- 電子メール レコード (emailrecords): id、zip、visit_date、phone、city、site_url、state、gender、email、user_ip、dob、firstname、lastname、done、email_lower_sha265 のキーを持つ JSON オブジェクト。
- 電話番号付きメール (emailWithPhone): 例は提供されていませんが、おそらく 2 つの名前付き属性を持つ JSON オブジェクトです。
- ビジネス リード (businessLeads): id、email、sic_code、naics_code、company_name、title、address、city、state、country、phone、fax、company_website、revenue、employees、industry、desc、sic_code_description、firstname、lastname、email_lower_sha256 のキーを持つ JSON オブジェクト。
以下の画像は、Dynarisk によって特定された、インターネットに公開されている Verifications.io の 4 つの MongoDB データベースを示しています。
マーティン氏は、クレジットカード番号や医療記録、その他の極めて機密性の高い情報は含まれていないため、今回のセキュリティ上の失態の深刻さは一部の人が恐れるほどではないと述べた。
「ここで問題となるのは、膨大なデータが一箇所に集約されていることです」と彼は説明した。「この情報の漏洩は、様々な国のデータ保護規制に違反する可能性があります。また、Verifications.ioとその顧客との契約におけるプライバシーとセキュリティの規定にも違反する可能性があります。」
コンサルタント会社セキュリティー・ディスカバリーのセキュリティー研究者ボブ・ディアチェンコ氏は、Verifications.ioのデータベースを初めてオンラインで発見した。同氏は、同氏がこの件を指摘した後、エストニアのタリンに拠点を置くこのマーケティング技術企業はこの失態を認め、データサイロを一般の目に触れないように隠したと述べた。
Verifications.ioはディアチェンコ氏に対し、同社のデータベースは「顧客データではなく公開情報で構築されている」と述べた。これは、同社のデータベース内のメールアドレスやその他の詳細情報の少なくとも一部が、インターネットからダウンロードまたはスクレイピングされたことを示唆している。
ディアチェンコ氏はコメント要請にすぐには応じなかった。
Amazon は情報セキュリティ世界で最も急成長している小規模産業を破壊しようとしている (データ スパムを仕掛ける S3 ストレージ バケットを発見)
続きを読む
オンラインデータダンプで公開されたメールアカウントのデータベース「HaveIBeenPwned」を管理するセキュリティ研究者のトロイ・ハント氏によると、Verifications.ioデータベースに登録されているメールアドレスの約3分の1はHaveIBeenPwnedにとって新しいものだという。残りの3分の2は、ハント氏のアーカイブに提供されたのと同じオンラインソースから収集されたものとみられる。
マーティン氏は、Verifications.ioが自社のデータは公開情報源から取得しているという主張は解釈の余地があると述べた。「これらのデータソースは、過去のある時点では公開されていたものの、後に非公開になった可能性もある」とマーティン氏は述べた。「同社が、長期間にわたってデータを保管することが許可されているかどうかを検証する継続的なコンプライアンスプロセスを備えていたかどうかを知ることは興味深いだろう」
企業内の不正な従業員やずさんな従業員の危険性に焦点を当てたセキュリティ企業であるDtexは、最近発行された2019年内部脅威情報レポートの中で、クラウド上で無防備なまま放置されたデータに関連するインシデントの98パーセントは人為的ミスに起因する可能性があると述べた。
2014年にリリースされた2.6.0より前のMongoDBバージョンでは、デフォルトでネットワークアクセスが可能でした。しかし、このデフォルト設定を元に戻しても、MongoDBを安全にインストールするための設定をユーザーが行うようにはなりませんでした。MongoDBは初期状態ではアクセスに認証を必要としませんが、多くの人がこの点を見落としているようです。®
追加更新
ディアチェンコ氏とともに、公開された Verifications.io データを偶然発見した Vinny Troia 氏は、誤って設定された MongoDB インストールによっておよそ 8 億 1,000 万人のネットユーザーが危険にさらされたと主張している。
一方、Dynarisk は、すべてのデータベースから 20 億件以上の記録を数え上げ、さらに分析した結果、合計 9 億 9,900 万件の固有の電子メール アドレスを特定したと述べています。
