最近のZDNetの報道によると、イスラエルの監視会社Nice SystemsとVerizonの提携企業が、同社のワイヤレスネットワーク顧客1,400万人のアカウント情報を漏洩させたという。Verizonはこれに対し、顧客情報の盗難や紛失はなかったと回答した。
データがどのように公開されたか
ベライゾンによると、ナイスシステムズの従業員が、外部からのアクセスを許可したAmazon S3ストレージサーバーに、一部の顧客に関する情報を保存していたという。このデータは、そのパブリックS3アドレスにアクセスできる人なら誰でもダウンロードできたはずだった。しかしベライゾンは、これは誤りであり、意図的なものではないと述べている。
Privacy Internationalによると、Nice Systemsはイスラエル最大の監視ソリューションプロバイダーの一つであり、複数の国の諜報機関と関係を持っています。また、Hacking TeamやCellebriteといった悪名高い監視ソリューションプロバイダーとも提携しています。
漏洩した記録には、氏名、住所、電話番号、アカウント確認用のPINコードなどが含まれていました。もしこれらの情報が携帯電話番号であれば、潜在的な攻撃者が顧客のVerizonアカウントにアクセスできてしまう可能性がありました。さらに、SMSベースの二要素認証で保護されているオンラインサービスにもアクセスできてしまう可能性がありました。攻撃者がVerizonの「顧客」であると特定されれば、電話番号を別の携帯電話に転送し、SMSトークンを受け取ることが可能でした。
サーバー上で見つかったデータには、顧客記録を含む6つのフォルダが含まれており、その中には一部の顧客の通話が録音され、「フラストレーションスコア」が付けられていたことも記載されていました。しかし、言及されていた録音はAmazonのサーバー上では見つかりませんでした。
ZDNet の報道によると、Verizon 社もこのすべてのデータが Nice Systems 社によってエクスポートされたことを事前に知らなかったとのことで、状況はさらに懸念されるものとなっている。
VerizonがNice Systemsにこれらの記録へのアクセスを許可したかどうかはさておき、そもそも記録が暗号化されていなかったという事実も懸念されます。アカウントのPINが暗号化されていない場合、顧客データベースをインターネット上に公開するような失態は、潜在的な攻撃者がシステムに侵入して暗号化されていない情報を盗む可能性さえあるため、顧客情報の漏洩につながる可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ベライゾンの対応
ベライゾンは、Niceシステムが顧客データをこのように使用するために事前にベライゾンから承認を得ていなかったという主張を否定しているようだ。ベライゾンは、Niceがコールセンターポータルの構築を支援しており、そのプロジェクトのためにNiceのデータが必要だったと主張している。
Verizonは次のように述べた。
背景を説明すると、ベンダーは、住宅および中小企業向け有線セルフサービスコールセンターポータルの改善を支援する承認済みのプロジェクトをサポートしており、プロジェクトに必要な特定のデータを必要としていました。データセットに含まれる情報の圧倒的多数は外部への価値はありませんでしたが、個人情報は限定的に含まれており、特に社会保障番号やVerizonの音声録音はクラウドストレージ領域にはありませんでした。
Verizonはまた、Amazonサーバー上の電話番号の大部分は固定電話ポータルのものであり、携帯電話番号はごく一部であったと説明しました。また、PINは固定電話コールセンターに電話をかける顧客の認証にのみ使用され、顧客アカウントへのオンラインアクセスは提供できないと述べました。Verizonはまた、ZDNetが報じた1,400万件とは対照的に、漏洩したアカウント数は600万件にとどまったと指摘しました。
ベライゾンはこの件について謝罪したが、テッド・リュウ下院議員はすでに議会公聴会の開催を求めており、何が起きたのかを詳細に調査している。ベライゾンは、FCCが最近撤回したプライバシー規則に反対する無線通信事業者の一つである。この規則は、ISPと通信事業者に顧客情報保護のより大きな責任を課すものだった。
覆されたFCCのプライバシー枠組みの下では、通信事業者は、サービス提供に厳密に必要でない限り、一部の情報を入手できなかったでしょう。しかし、これらの規則が覆されたことで、ISPと通信事業者は、より多くの顧客情報を収集するだけでなく、パートナー企業と共有する自由が大幅に拡大しました。しかも、多くの場合、平文で共有されているようです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
