Have I Been Pwnedにまた新たな漏洩データが掲載されていました。インドのビジネスコンタクトのデータベース提供会社であるadaptから936万件のデータが漏洩したようです。
◆キタきつねの所感
2018年11月にセキュリティ研究者(Cyber Risk Research社)のBob Diachenko氏が、936万件の個人情報(メールアドレス、会社名、役職、名前、電話番号、住所、ソーシャルメディアプロファイル)が含まれる保護されてないデータベースを確認したと事件詳細にあります。
adaptという会社を知らなかったので、調べてみたのですが、3700万件+のコンタクト情報を持つサービスを展開しているようです。結構大きなデータベースを持つのに・・個人的に聞き覚えがないなと思ったのですが、インドに本拠地がある会社だったので、インドベースで市場を広げているからかも知れません。
Linkedinで見てみると、本社はインドのCoimbatore、設立も2018年と比較的新しいサービスのようで、従業員規模も50名以下、どうやら急成長しているベンチャー企業のようです。
日本で言うと、クラウドで名刺情報管理サービスを提供しているSanSanやEightが業態として一番近いかも知れません。逆な見方をすれば、将来SanSanやEightが同様な事態に陥る可能性もあるという事になるのですが・・・。
今回のデータ漏洩に関して、Bob Diachenko氏とTroy Hunt氏というセキュリティ研究者が情報を公開している事から、既にadaptの顧客/登録情報が漏洩したのは間違いないと思います。しかし、adaptは正式にコメントを出してません。
ベンチャー企業であると思われる事から推測するに、公開すると自社のビジネスへの影響が大きすぎると判断してセキュリティ専門家の警告を無視したと考えられます。
Troy Hunt氏が全世界に公開した情報、これは個社によって事情は違うとは思いますが、・・・一種のメディアになりつつありますので、無視が正しい選択だったとは私は思いません。
foxsecurity.hatenablog.com
元々のデータ漏洩、公表内容から想像するに、データベース(全体の約25%)をごっそり取られているようですので、adapt社はかなり深い所までハッキングされたと考えられます。そしてそれを自社で気づけず、ブラックマーケットに情報が流れてしまったという経緯だと推測されます。
ベンチャー企業がビジネス拡大を急ぐあまりにセキュリティを軽視した、かどうかまでは分かりませんが、個人情報を取り扱う以上、その保護に責任をもつべきであり、それが出来ないのであれば顧客は嫌気を指し、そのビジネスなるものは信用を失い、逃げていってしまうかも知れません。
個人情報を持つデータベースは、Webサーバからみて奥に隠してあったとしても、いつも狙われている、そうした認識をもって対策、および監視し続ける事が重要なのだと思います。
更新履歴
