コンフォートホテルを日本でも展開するChoice Hotelsが、70万件の個人情報をハッカーに盗まれたと報じられていました。
www.zdnet.com
Choice Hotelsに属する70万件のレコードが、ハッカーが返品の支払いを要求して盗まれたと伝えられています。
Comparitechは、セキュリティ研究者のボブディアチェンコと共同で、BinaryEdge検索エンジンによってデータベースのインデックスが作成された後、2019年7月2日にホテルフランチャイズに属するデータを含む安全でないデータベースを発見しました。
MongoDBデータベースは、パスワードや認証を使用せずに公開され、合計560万件のレコードが公開されました。
Choice Hotelsによると、記録の大部分は、支払いカード、パスワード、予約フィールドなどのテスト情報のみでした。ただし、70万件のレコードは本物であり、名前、メールアドレス、電話番号などのゲストに関する情報が含まれていました。
ディアチェンコは、チョイスホテルズに、発見の同じ日にセキュリティインシデントを認識させました。しかし、あまり名誉のない意図を持つ誰かが最初にそこに着いた。
データベースの調査中に、研究者は身代金メモを見つけました。このメッセージは、700,000件のレコードが盗まれ、他の場所でバックアップされ、所有者に0.4ビットコイン(BTC)、執筆時点で約4,000ドルを要求したと主張しました。
(ZDnet記事より引用)※機械翻訳
◆キタきつねの所感
この手の意図しないDBの公開については、セキュリティ専門家(おせっかいなホワイトハッカー)が見つけた!と報じられる事が多いのですが、残念ながら今回に関しては、ブラックハッカーの方が一足先に見つけてしまった様です。
時系列についてComparitechの記事を引用すると、チューリッヒのセキュリティ企業で、インターネットをスキャンしているBinaryEdgeが6月30日にDB露出をインデックス化し、7月2日にBob Diachenko氏(ホワイトハッカー)がこのデータベースを見つけて、Choice Hotelsに連絡。同日中に意図せぬ公開を停止
したのですが・・・7月2日の段階では、既にハッカーがデータを盗んだメモが残されており、身代金として0.4ビットコイン(約3856ドル)が要求されたという経緯の様です。データベースの意図せぬ公開は4日間だったのですが、敏感に反応したホワイトハッカーでも「遅かった」という事になります。
別記事(Comparitech)を見ると、漏洩したデータはベンダーのテストデータとして使われていた様で、ホテルのシステムが襲われた訳では無い様です。
データベースには560万件のレコードがありました。しかし、Choice Hotelsは、Comparitechに電子メールで記録の大部分が「実在の人物に関連付けられていないテストデータ」であると伝えました。
同社によると、データはベンダーのサーバーでホストされており、Choice Hotelsサーバーにはアクセスされていません。 「ベンダーは、ツールを提供する提案の一部としてデータを操作していました」と、会社の代表者はComparitechに語ります。
(Comparithech記事より引用) ※機械翻訳
セキュリティ関係の資格試験でも良く出てくる(であろう)、『テストデータを本番データとして使ってはいけない』を守らなかった事に他ならないのですが、委託先に生の顧客データを渡したChoice Hotels側も・・・誰が首が飛ぶでしょうね。
ホテル業界、特に大きなホテルチェーンではここ数年データ漏洩事件が続いており、日本のホテルであっても、保有してる個人情報が狙われている、そうした認識を持ってセキュリティ体制を点検すべきかと思います。
尚、この漏洩した70万件の顧客データの中に日本のデータが含まれていたかについては、Choice Hotels側は情報を公開してません。(可能性が無いとは言い切れません)
※正確には・・・ニュースリリースに今回の事件について未だ発表が無いので分からないというのが正直な所ですが。。。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴