FedExのカスタマー情報が写真付き身分証のコピーとともに流出

FedExが2014年に買収した「Bongo International」という輸送代行サービスが、顧客の個人情報をオンライン上で誰でもアクセスできるような状態で保管していたことがわかりました。

FedEx Customer Records Exposed
https://mackeepersecurity.com/post/fedex-customer-records-exposed

Mountain of sensitive FedEx customer data exposed, possibly for years | Ars Technica
https://arstechnica.com/information-technology/2018/02/fedex-customer-data-left-online-for-anyone-to-rifle-through/

セキュリティ調査を行うKromtech Security Centerの研究者らは、FedExのユーザーがオンライン上にアップロードした書類のスキャンデータが、Amazon S3のバケット上で誰でもアクセスできる状態になっていることを発見しました。誰でもアクセスできるようになっていたのは11万9000人分のデータで、ユーザーの名前・自宅住所・電話番号が記されており、写真付き身分証明書のコピーも付されていたとのこと。身分証明書のコピーはメキシコ・カナダ・EU・サウジアラビア・クエート・日本・マレーシア・中国・オーストラリアなど、さまざまな国のユーザーのものだったと研究者らは記しています。

これらのデータは当初、アメリカのみ発送が行われる商品をその他の国に発送してくれる「Bongo International」によって集められていました。2014年にBongo InternationalはFedExに買収され、名前を「FedEx Cross-Border International」へと変えましたが、その後、2016年春にFedExはこのサービスを終了させています。今回発見された内容は、ユーザーデータが最初から適切に扱われておらず、かつFedExがサービス終了時にデータの破棄に失敗しているということを示しているとのこと。Kromtechの研究者らは、これらのデータは2009年から公開状態だったと見ています。

以下がオンライン上で公開状態になっていたドキュメント。

海外への発送が行われるため、パスポートなど写真付き身分証のコピーも添付されていました。

2018年2月13日の時点で研究者らは FedEx Cross-Border Merchantのカスタマーサポート経由でFedExとコンタクトを取ろうとしたのですが、連絡が取れず。その後、ZDNetの記者がFedExに連絡したところ、Amazon S3のバケットは取り下げられました。

FedExは「予備調査の結果、私たちはBongo Internationalの過去のアカウント情報がサードパーティーのサーバー上にあることを確認しました。このパブリッククラウドのプロバイダーは安全なものです。これらの情報が不正利用されたという兆候はありませんが、私たちは引き続き調査を行う予定です」というコメントを発表しています。