企業の契約書や内部メモなどのスキャン文書を保管するABBYYが2万件以上の文書をパスワードロックなしで管理していたと判明
OCRソフトやクラウドサービスを提供するABBYYが、顧客がスキャンしクラウドに保存した2万件以上のドキュメントデータをサーバー上でパスワードもかけずに一般公開していたことが明らかになりました。
ABBYY exposed its document storage database with more than 200K scanned contracts, memos, letters. | Bob Diachenko | Pulse | LinkedIn
https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko
セキュリティ研究者のボブ・ディアチェンコ氏が、AWSでホストされるあるMongoDBにログイン用のパスワードロックがかかっておらず、データベースに142GBものデータが保管されているのを発見しました。
サイバー攻撃の対象となりかねないセキュリティリスクを確認したディアチェンコ氏は、所有者を特定し保護すべくデータベースのサンプル分析を行ったところ、「documentRecognition」「documentXML」のファイル名からデータ認識企業のインフラの一部であることが推測できたそうです。そして、「ユーザー」情報にある企業のメールアドレス、暗号化されたパスワードから、MongoDBの管理者がABBYYであることを特定しました。ディアチェンコ氏によると、問題のMongoDBには、ABBYYのクライアント企業が保管していた契約書、NDA、メモ、その他の内部文書などからなる2万件以上のスキャンされた文書データが保管されていたそうです。
ディアチェンコ氏は、データベースから抽出したABBYY関係者に対してメールで通知したところ、翌日には情報セキュリティ責任者から返信があり、「問題について詳細な情報を提供してほしい」旨の要請を受けました。その後、ABBYYから、「システムの脆弱性が解消した」という報告とともに、「影響を受けた顧客に対して通知をした」との連絡を受けましたが、顧客企業名は明かされなかったそうです。
なお、ABBYYのサービスを利用する企業は以下のABBYYページで確認でき、Mマクドナルド、ペプシコ、フォルクスワーゲンなどの大企業が名を連ねていたことがわかります。
ABBYY Customers Stories
https://www.abbyy.com/en-ee/case-studies/
ディアチェンコ氏によると、最初のメールでの問い合わせから2日後に自身のIPアドレスを送信した直後にようやく問題のMongoDBへのアクセスが不能になったそうで、それまでの間にパスワードロックがかかっていない期間がどれくらいあったのかは不明とのことです。
・関連記事
Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明 - GIGAZINE
なんと氏名・住所・生年月日・基礎年金番号が合計125万件も流出、原因はウイルスメールを日本年金機構の職員が開封したため - GIGAZINE
「人生一度。不倫をしましょう」の不倫・浮気サイトがハッキングされ個人情報3700万人分がダダ漏れに - GIGAZINE
ずさんなパスワード管理体制だったソニー・ピクチャーズへのサイバー攻撃は従業員の家族が脅迫を受ける事態にまで発展 - GIGAZINE
「危険なパスワード一覧」から自身のパスワードをこっそり削除したことがバレて逆に世界一有名なパスワードが爆誕 - GIGAZINE
・関連コンテンツ