セキュリティ

FedExのカスタマー情報が写真付き身分証のコピーとともに流出


FedExが2014年に買収した「Bongo International」という輸送代行サービスが、顧客の個人情報をオンライン上で誰でもアクセスできるような状態で保管していたことがわかりました。

FedEx Customer Records Exposed
https://mackeepersecurity.com/post/fedex-customer-records-exposed

Mountain of sensitive FedEx customer data exposed, possibly for years | Ars Technica
https://arstechnica.com/information-technology/2018/02/fedex-customer-data-left-online-for-anyone-to-rifle-through/

セキュリティ調査を行うKromtech Security Centerの研究者らは、FedExのユーザーがオンライン上にアップロードした書類のスキャンデータが、Amazon S3のバケット上で誰でもアクセスできる状態になっていることを発見しました。誰でもアクセスできるようになっていたのは11万9000人分のデータで、ユーザーの名前・自宅住所・電話番号が記されており、写真付き身分証明書のコピーも付されていたとのこと。身分証明書のコピーはメキシコ・カナダ・EU・サウジアラビア・クエート・日本・マレーシア・中国・オーストラリアなど、さまざまな国のユーザーのものだったと研究者らは記しています。

これらのデータは当初、アメリカのみ発送が行われる商品をその他の国に発送してくれる「Bongo International」によって集められていました。2014年にBongo InternationalはFedExに買収され、名前を「FedEx Cross-Border International」へと変えましたが、その後、2016年春にFedExはこのサービスを終了させています。今回発見された内容は、ユーザーデータが最初から適切に扱われておらず、かつFedExがサービス終了時にデータの破棄に失敗しているということを示しているとのこと。Kromtechの研究者らは、これらのデータは2009年から公開状態だったと見ています。

以下がオンライン上で公開状態になっていたドキュメント。


海外への発送が行われるため、パスポートなど写真付き身分証のコピーも添付されていました。


2018年2月13日の時点で研究者らは FedEx Cross-Border Merchantのカスタマーサポート経由でFedExとコンタクトを取ろうとしたのですが、連絡が取れず。その後、ZDNetの記者がFedExに連絡したところ、Amazon S3のバケットは取り下げられました。

FedExは「予備調査の結果、私たちはBongo Internationalの過去のアカウント情報がサードパーティーのサーバー上にあることを確認しました。このパブリッククラウドのプロバイダーは安全なものです。これらの情報が不正利用されたという兆候はありませんが、私たちは引き続き調査を行う予定です」というコメントを発表しています。

・関連記事
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

Uberが5700万人の乗客・ドライバーの個人情報を流出させてハッカーに金を払っていた件が明るみに - GIGAZINE

iOSアプリ50個のうち1個の割合でデータを流出させる問題があることが報告される - GIGAZINE

スウェーデン政府が間違ってほぼ全国民分の個人情報&軍の機密情報を流出させる - GIGAZINE

3200万件分のTwitterアカウント情報(ユーザー名・パスワード・メールアドレス)が売買されていることが明らかに - GIGAZINE

in セキュリティ, Posted by logq_fa