英国の教師や学校管理職員100万人の詳細情報を保持していると主張する電子メールマーケティング会社が、自社のウェブサイト上のエラーページの設定ミスにより、それらの詳細情報をインターネット上に公開する可能性があることが判明した。
それだけでなく、スクールズ マーケティング カンパニー (SMC) は、情報セキュリティ担当者が問題に注意を喚起しようとしたときに、欠陥を発見した情報セキュリティ会社の調査結果を無視したようです。
ペンテスト・パートナーズがザ・レジスターに公開した電子メールは、同社のコンサルタントであるアンドリュー・ティアニー氏が「情報開示に対してこれまで受けた中で最も傲慢な対応」と評したもので、同社は脆弱性について聞く気はないと述べている。
ティアニー氏が偶然見つけたのは、データベースのユーザー名やパスワードと思われるものを含む膨大な量の情報をインターネット上に表示するサーバーエラーメッセージだったという。
スクールズ・マーケティング・カンパニーのサーバーログイン認証情報の漏洩。archive.orgがキャプチャ。クリックして拡大
しかし、レイトンストーンに拠点を置くSMCに報告したところ、事態は予想通りには進まなかったとPTPは述べています。何度も連絡を試みた後、上級IT担当者からようやく次のような返信がありました。
エル・レグ氏は、名前や署名欄まで含めたメール全文を見た。
SMCの対応にティアニー氏は驚き、レジスター紙にこう語った。「私たちは長年にわたり何百もの問題を公表してきましたが、今回の対応はこれまでで最悪のものの一つです。最も分かりやすい問題であるエラーページは、皮肉な返信を送るよりも簡単に修正できます。100万人以上の学校職員の連絡先情報を保有していると主張する企業としては、少し心配です。」
資格情報がどのくらいの期間パブリック ドメインであったかは不明ですが、インターネット アーカイブの Wayback Machine によってインデックス化されるには十分な期間でした。
ありがたいことに、同社は最終的に情報セキュリティ担当者の警告に従ったようだ。
レジスター紙は先週、SMCにウェイバックマシンのリンクを共有したが、当初は返答がなかった。しかし昨日の朝の時点で、そのURLのページには「申し訳ございません。このURLはウェイバックマシンから除外されました。」というメッセージが表示されていた。
- PogChampではないもの:AmazonのTwitchのソースコードとストリーマーの支払いデータが流出
- テレグラフ紙が10テラバイトの購読者データとサーバーログをworld+dogに公開
- 米議事堂襲撃事件に関与した極右民兵組織から、電子メールやチャットログなどがオンラインで流出
- 認証情報が漏洩する Exchange Autodiscover の脆弱性について – マイクロソフトは 5 年経っても修正しませんでした
データベースのユーザー名とパスワードが公開されれば、同社のインターネット向けログインページにアクセスできる人なら誰でも、その内容を読み取ったりコピーしたりできることになります。スクールズ・マーケティング・カンパニーのウェブサイトは、「GDPRおよびPECRに準拠し、2007年から情報コミッショナー(ICO)に登録済み」であり、「英国の学校における250以上の職務に携わる教師や職員の100万件以上の個人用メールと学校用メールを保有している」と謳っています。
評判の良い企業から情報開示を受けた企業のほとんどは、それを真剣に受け止める傾向があります。業界トップクラスの企業は、適切な脆弱性開示ポリシーとsecurity.txtファイルを整備しています。とはいえ、SMCは情報開示に基づいて行動を起こしました。
ICOは潜在的なデータ侵害を認識しており、スクールズ・マーケティング・カンパニーが登録データ処理業者であることを確認しました。規制当局は調査権限を有しており、証明されたデータ侵害に不正行為または不正行為が関与していると判断した場合、罰金を科すことができます。
スクールズ マーケティング カンパニーのシステム マネージャー Tom Glasson 氏は本日、電子メールで次のような声明を発表しました。
「当社はペンテストパートナーズとこれまで一切関係がなく、また当社のサーバー上にも機密情報を一切保有しておりませんが、今回の件を深刻に受け止め、これまで通りシステムのセキュリティを確保するための措置を講じております。
「当社が保有するシステムや情報が侵害されたという兆候はない」と付け加えた。®
