独占モバイル通信事業者 Three UK のウェブサイトでは、ログインを求めることなく、訪問者に他の顧客の名前、住所、電話番号、電子メール アドレスなどを表示していました。
驚いたReg の読者 Chris さんは、すぐに Three さんにツイートして、いったい何が起きているのかと尋ね、Three さんのサイトがページを変えるたびに異なる人々のデータを表示するのはなぜなのかと疑問を呈しました。
クリックして拡大
彼が携帯電話会社のホームページにアクセスしただけなのに、サイトには彼がログインしていると表示されていました。
「モバイルインターネット接続で彼らのサイトを開くと、ユーザーを認識して自動的にログインします」とクリスは言いました。「私は自宅のWi-Fi(Threeではない)でアクセスしていたので、最初にサイトにアクセスした時は手動でログインする必要がありました。おそらく、同時にアクセスしていた有効なユーザーのセッションにリダイレクトされたか、何らかの不具合で私のIDが認識されずに別のユーザーのIDが割り当てられてしまったのでしょう。」
クリックして拡大
「カードや口座振替など、支払いの詳細は一切確認できませんでした。また、明細を読み込むこともできず、明細を確認することもできませんでした」とクリスは付け加えた。Threeは約1,000万人の登録会員がいると主張している。
クリックして拡大
読者がThreeからの返信を待っている間(最初のツイートから1時間半後にThreeからTwitterで返信がありました)、彼はEl Regに情報を提供しました。調査を進めると、同社のウェブサイトがしばらくの間ダウンし、通常の「メンテナンス中」ページが表示されていましたが、約1時間後に復旧しました。クリス氏によると、サイトが復旧した後、他のユーザーのデータは表示されなくなったとのことです。
データ侵害の性質から、顧客データベース全体と、ファイルに保存されている個人データの一部が漏洩した可能性があることが示唆されています。
Three の広報担当者との度重なる連絡にもかかわらず、The Registerが漏洩の潜在的な規模や範囲について尋ねた質問には一切回答がなかった。
クリスが送ってくれた他のスクリーンショットの中に、文字を含むURLがいくつか表示されていたことから判断すると/new、同社の技術者が、サイト改修作業中のものを誤ってmobe社の本番サーバーにデプロイしてしまった可能性があります。これは単なる推測であり、Threeはこの件に関する質問に回答していません。
情報コミッショナー事務局は、本記事の公開時点では、Three が侵害を報告していたかどうかについて言及できなかった。®
16:28 UTC に追加して更新しました:
ICOの広報担当者は「Threeから事件について報告を受けており、調査を行う予定だ」と語った。
Three UKの広報担当者は、「少数のお客様からmy3に関する問題が発生したとの報告をいただいております。調査のため、my3へのアクセスをブロックしております」と回答しました。
1825 UTC に追記しました:
Three UK は、Three の Web サイトにアクセスするだけで、ログインする必要もなく、Three の顧客の個人データをランダムに閲覧できることについて苦情を申し立てたのはわずか 4 人だったことを明らかにしたいと考えていました。El Reg は、この点を明確にできて非常にうれしく思っています。
