米国Digital WalletのKey Ring社 1400万人のデータを漏洩???
こんにちは、丸山満彦です。
米国Digital WalletのKey Ring社の1400万人の4400万のデータが見られる状態にあったようですね。。。記事によるとAmazon S3の設定ミスのようですね。。。もし、本当であれば影響は大きいでしょうね。。。
・2020.04.02 Report: Popular Digital Wallet Exposes Millions to Risk in Huge Data Leak
恥ずかしながらこの記事を読むまでKey Ring社についての詳細は知りませんでした。。。
Key Ring社[wikipedia]のアプリは、ユーザが会員カードやポイントカードのスキャンや写真を携帯電話のデジタルフォルダにアップロードするものです。ただ、実際は多くのユーザが、ID、運転免許証、クレジットカードなどのコピーを保存していると言われています。
Key RIng社の所有するAmazon Web Services(AWS)のS3が誤って設定されていたために、ユーザがアップロードしたデータが見られる状態になっていたようです。。。
vpnMentorの研究員によると、見られる状態になっていたデータ(画像)には、
- 政府ID
- ショップのメンバーカード、ポイントカード
- 全米ライフル協会の会員カード
- ギフトカード
- クレジットカード。CVV番号付き
- 医療保険証
- 医療用マリファナIDカード
が含まれていたようですね。
vpnMentorの研究員が見つけたのは2020年1月で、改善がされたのが2月18日のようですね。。。
・2020.04.06 Key Ring digital wallet exposes data of 14 Million users in data leak
« ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。 | Main | DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入? »
Comments