英国の金融サービス会社FFreesの顧客は、セキュリティ研究者から連絡を受けるまで、4か月前に同社で発生した情報漏洩について知らなかったと述べた。
4月に今や悪名高いAAショップのアクセサリー情報漏洩を発見した同じ匿名のホワイトハットハッカーが、シェフィールドに拠点を置き、簡素なデジタル当座預金口座を提供するFfrees Family Financeのデータ漏洩もほぼ同時期に発見した。
Ffreesリークダンプの難読化されたサンプルクエリ。漏洩した情報の範囲(運転免許証番号を含む)はTroy Hunt提供。
研究者によると、漏洩した情報には、住所、94,574件の固有のメールアドレス、電話番号、生年月日、運転免許証番号、そして30万件以上の取引記録が含まれていた。パスポート番号とその有効期限も公開された。記録のうち、約95件は子供に関するものと思われる。
研究者は、データを発見した直後にFfrees社に連絡を取り、問題について報告したと述べた。3ヶ月後の7月にも連絡を取ったが、Ffrees社から、影響を受ける可能性のある関係者への情報提供について明確な保証が得られなかったため、懸念を抱いた。研究者は「適切な措置が講じられた」と伝えられた。
その後、ホワイトハットハッカーは、Have I Been Pwned? 侵害通知サービスを運営する Troy Hunt 氏の協力を得て、漏洩したと思われるデータの妥当性を評価し、ダミーデータやテストデータである可能性を排除しました。
「Have I Been Pwned?」の複数の購読者は、住所、電話番号、取引、運転免許証番号などのデータが漏洩した情報に含まれていることを確認したが、不思議なことに、これらの人々の誰もFfreesから侵害通知を受け取ったとは報告していない。
Ffrees は、侵害に関する情報、事件の影響を受けた一部の人々への通知、およびユーザーの「個人データ」の漏洩により ID 盗難が発生する可能性があるという考えを繰り返し提起する FAQ セクションをウェブサイトに掲載しましたが、パスポートや運転免許証のデータ、取引記録が漏洩した可能性があるという具体的な言及は省略しました。
そのサイトの通知には次のように書かれています。
金融サービス会社は影響を受けたユーザーの一部にも通知した模様だが、ハント氏が連絡を取ったユーザーは連絡を受けていないと主張している。
「HIBPの加入者の多くがそこにいたが、なぜFfreesのデータ漏洩に巻き込まれたのか全く分からなかった」とハント氏はEl Regに語った。
顧客通知の完全なプログラム
El Regからの質問に答えて、Ffrees Family Financeの最高経営責任者であるアレックス・レッツ氏は次のように述べた。
データ漏洩のインシデントが発生し、弊社に報告がありました。すぐに修正され、そのことをお知らせいただいたことに感謝しています。
「専用のサポートラインで顧客への通知と謝罪が徹底的に行われ、必要に応じて関係当局にもこの事件を報告しました。」
「当社は問題の解決に全力を尽くし、疑わしい活動の兆候がないかアカウントを監視し続けています。」
英国情報コミッショナー事務局(ICO)のデータプライバシー監視機関は、通知を受けたことを確認した。「Ffrees Family Finance Ltd.に関わるインシデントを認識しており、詳細を調査中です。」
「すべての組織はデータ保護法に基づき、人々の個人情報を安全かつ確実に保管する義務を負っている」とICOの広報担当者は付け加えた。
Ffreesの侵害は、6月中旬に法律ウェブサイトに掲載された記事以外、ほとんど報道されませんでした。その記事では、セキュリティ研究者が漏洩したと指摘するパスポート番号や運転免許証の番号、有効期限については一切触れられていませんが、取引の詳細が漏洩したことについては言及されています。
組織にはどのような報告義務がありますか?
今後の一般データ保護規則 (GDPR) では、次のことが求められます。
ただし、現在の法律では、1998 年データ保護法 (DPA) に基づき、データ管理者はセキュリティ侵害の範囲や侵害そのものをデータ主体に報告する義務を負っていないことに留意する必要があります。
FfreesのLettsは、漏洩した情報の範囲を明らかにするようEl Regから要請されたが、回答を拒否した。前述の通り、同社は影響を受けた顧客の一部に情報漏洩通知を送付し、ウェブサイトにFAQを掲載した模様だ。
ある顧客がFfreesから受け取った侵害通知のコピーが、5月に個人金融ウェブサイト「Money Saving Expert」のフォーラムに投稿された。
しかし、この通知では、パスポートや運転免許証のデータ、あるいは取引記録が漏洩した可能性については言及されておらず、「2012年から2014年初頭にかけてマーケティング目的で保有されていた情報」とのみ言及されていた。さらに、この情報にはユーザーの氏名、生年月日、メールアドレスが含まれていたと付け加えられている。
暗闇の中で
ハント氏は、侵入の被害を受けた HIBP? 加入者数名と連絡を取ったが、彼らは Ffrees からは何も連絡を受けていないと話していた。
Ffreesの顧客として3、4年来利用しているダニエル・Bさんは、自分の運転免許証の詳細が漏洩したことを認めた。
「私の運転免許証がインターネット上に公開されたのに、FFrees本人からは連絡がありませんでした。トロイ・ハント氏から、漏洩に関して送られてきたデータの一部が私に送られてきたことで、初めて状況を知りました。そして、それは確かに私の個人データでした」と彼はエル・レグ紙に語った。
レストラン予約サイトを通じてOscarUK(後にFfreesに買収された)に登録していたマイケル・Wの個人情報も漏洩したと、彼は認めた。Ffreesは2013年に、50歳以上向けの大手コンセッションサイトであるOscar(OscarUK.co.uk)を買収した。
「私の氏名、生年月日、住所、そしておそらく当時のパスワードと予約の詳細(たった一度しか使っていない!)が、情報を知っている人なら誰でも閲覧できる状態に突然公開されてしまったことに、少し動揺しました」と彼は語った。「このいわゆる情報漏洩について、またそれがどのようにして発生したのかについて、私は何の連絡も受けていませんし、私を守るために何が行われているのかも理解していません。」
独立系セキュリティコンサルタントのスコット・ヘルム氏は、データを検討した結果、深刻な懸念を抱いたと述べた。
「この決済ゲートウェイにログインできる有効な認証情報は、多数、あるいは数万件にも及ぶようです」とヘルメ氏はエル・レグ紙に語った。「侵害当時5歳だった子供に関するデータや、結婚式、休暇、老後の貯蓄、子供のためのお金など、口座開設の理由に関する個人的なメモが含まれていました。一部の人にとってはかなり暗い内容でした。」
Ffreesは、顧客にMasterCardの「バーチャルアカウント」を提供しています。ユーザーは「プリペイドカード」にリンクされた口座に送金し、このカードを使ってFfreesの提携企業から商品やサービスを購入すると、金銭的な報酬を獲得できます。
同社は、影響を受けた顧客に送った侵害通知のタイミングと内容を共有するよう求めるEl Regからの複数の要請を拒否した。
現在の英国法では、金融情報の漏洩の疑いについて顧客に通知する法的義務はないが、最近のAAアクセサリーショップの情報漏洩のケースで指摘されているように、来年5月に英国のデータ保護法案(EUの一般データ保護規則の法律を組み込む)が発効すれば、状況は変わるだろう。
EU一般データ保護規則(2018年5月発効)を組み込んだデータ保護法案が、夏季休暇後に議会に提出される予定です。®
