« ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。 | Main | DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入? »

2020.04.07

米国Digital WalletのKey Ring社 1400万人のデータを漏洩???

こんにちは、丸山満彦です。

米国Digital WalletのKey Ring社の1400万人の4400万のデータが見られる状態にあったようですね。。。記事によるとAmazon S3の設定ミスのようですね。。。もし、本当であれば影響は大きいでしょうね。。。

vpnMentor - blog

・2020.04.02 Report: Popular Digital Wallet Exposes Millions to Risk in Huge Data Leak

恥ずかしながらこの記事を読むまでKey Ring社についての詳細は知りませんでした。。。

Key Ring社[wikipedia]のアプリは、ユーザが会員カードやポイントカードのスキャンや写真を携帯電話のデジタルフォルダにアップロードするものです。ただ、実際は多くのユーザが、ID、運転免許証、クレジットカードなどのコピーを保存していると言われています。

Key RIng社の所有するAmazon Web Services(AWS)のS3が誤って設定されていたために、ユーザがアップロードしたデータが見られる状態になっていたようです。。。

vpnMentorの研究員によると、見られる状態になっていたデータ(画像)には、

  • 政府ID
  • ショップのメンバーカード、ポイントカード
  • 全米ライフル協会の会員カード
  • ギフトカード
  • クレジットカード。CVV番号付き
  • 医療保険証
  • 医療用マリファナIDカード

が含まれていたようですね。

vpnMentorの研究員が見つけたのは2020年1月で、改善がされたのが2月18日のようですね。。。

 

Security Afairs

・2020.04.06 Key Ring digital wallet exposes data of 14 Million users in data leak

 

 

|

« ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。 | Main | DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。 | Main | DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入? »