Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Arik AirもAmazon S3を設定ミス

ナイジェリアの主要航空会社、Arik AirAWS上のデータを意図せず漏洩させていたと報じられていました。

www.premiumtimesng.com

According to Mr Paine, the leaky bucket was discovered on September 6 and in total, he found 994 CSV files, some of which contained “in excess of 80,000+ rows of data while other files contain 46,000+ rows of data, and in some cases, files only contain 3 rows of data.”

The safety expert’s review showed that some of the data points leaked included customer names, email addresses, IPs registered at the time of purchases, and the hashes of credit cards used. In addition, he said, data was stored in the bucket which “appears to be last four digits of the credit card used” and what may be “the first six digits of the credit card used.”

The data dump also contains dates of sale, payment values, types of currency used, device fingerprints and the departing and arriving airports, he said. Also sensitive in the discovery is the inclusion of business names related to purchases made to Arik Air.

(premiumtimes記事より引用)

◆キタきつねの所感

AWS S3バケット』は過去に様々な事業者が意図しない公開をしていた事が発覚し、外部の第三者に漏洩しています(※発表されるニュースでは大概の三者はホワイトハッカー)。ナイジェリアのArik Airもどうやら、同じミスをしていた可能性が高そうです。994のCSVファイルにはかなりの顧客情報が含まれていた様で、データの一部を分析したセキュリティ専門家によると、IPアドレス、ハッシュ化されたクレジットカードの後ろ4桁と、頭の6桁、販売日、支払い額、使用通貨の種類、デバイスの指紋、出発空港、到着空港、機器情報なども入っていたようです。クレジットカード情報はマスキング同等なのであまり実害は無いかと思いますが、これらの情報を使った2次犯罪が懸念されます。

 

飛行機のランキングサイトを見ると、Arik Air顧客評判はそれほど高くありません。この事件を受けて、、更に評判が下がるのは間違いないでしょう。

f:id:foxcafelate:20181102201046j:plain

 

Amazonの設定ミスは、Amazonが全ユーザに注意喚起を出しているので普通は、そこで気づくと思うのですが、残念ながら、まだまだ脆弱な設定のユーザは多いようです。日本企業も、AWSの設定がどうなっているのか、今一度確認する必要がありそうです。

 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

バードストライクのイラスト

 

 

更新履歴

  • 2018年11月2日PM(予約投稿)