Amazonがプライム・ビデオの視聴習慣情報が詰まった内部サーバーを間違って公開してしまう

テクノロジー関連のスタートアップがセキュリティ不備が原因でインターネット上に存在する大量のデータを流出させてしまうというケースがままありますが、データの流出に陥るのはスタートアップだけでなく、Amazonのような大企業でさえ間違いを犯すことがあります。セキュリティ研究者のAnurag Sen氏が、インターネット上でアクセス可能なAmazonの内部サーバーに保存されているプライム・ビデオの視聴習慣情報が詰まったデータベースを発見したと報告しました。

Amazon accidentally exposed an internal server packed with Prime Video viewing habits | TechCrunch
https://techcrunch.com/2022/10/27/amazon-prime-video-server-exposed/

Sen氏が発見したAmazonの内部サーバー上にあるデータベースは、「Sauron」という名称のElasticsearchデータベースでした。このデータベース上にはプライム・ビデオで配信されている番組・映画の名称や、ストリーミングに利用されているデバイスの種類、ユーザーのネットワーク品質、ユーザーの契約に関する詳細などの視聴習慣情報が約2億1500万件分も保存されていたそうです。なお、このデータベースはパスワードで保護されていなかったため、IPアドレスを知っているだけでウェブブラウザから誰でもデータにアクセスすることが可能な状態になっていました。

インターネットに接続されたデバイスの中からポートが開放されている機器を調べるツールであるShodanで調べると、Sauronがインターネット上で最初に公開されたのは2022年9月30日のようです。

海外メディアのTechCrunchによると、Sauronのデータを使用して顧客の名前を個人レベルで特定することは不可能とのこと。TechCrunchは「Amazonのような規模の企業ですらインターネット上に膨大な量のデータキャッシュを何週間も誰も気づかないまま放置してしまう可能性があることに当惑します」「これは多くのデータ漏えいの根底にある、『インターネットに接続されたサーバーが間違ってパスワードなしで構成されてしまうと、誰でもアクセス可能になってしまう』という問題を浮き彫りにしています」と記しています。

なお、Sen氏はSauronに関する情報をTechCrunchに提供し、さらにTechCrunchがAmazonにデータベースの情報を提供したところ、しばらくしてSauronへのアクセスができなくなったそうです。

Amazonの広報担当は「プライム・ビデオ分析サーバーで展開エラーが発生しました。この問題は解決されたため、現在はログインや支払いの詳細を含むアカウント情報は公開されていません。これはAWSの問題ではありません。AWSはデフォルトで安全であり、設計通りに機能しています」と述べ、AWSの問題ではないことを強調しています。