ブログ

3,500万人の米国居住者の個人情報がウェブ上に公開:レポート

米国居住者のデータ漏洩



推定 3,500 万人の個人情報を含む謎のマーケティング データベースがパスワードなしで Web 上に公開されたと Comparitech の研究者が報告しています。データベースには、名前、連絡先、自宅住所、民族、趣味や興味から買い物習慣やメディア消費に至るまでの豊富な人口統計情報が含まれていました。

コンパリテックの研究者が閲覧したファイルのサンプルによると、記録の大部分はシカゴ、ロサンゼルス、サンディエゴとその周辺地域の住民に関するものでした。



このデータベースには、Web ブラウザとインターネット接続があれば誰でも完全にアクセスできます。データベース内の情報は、標的を絞ったスパムや詐欺キャンペーン、フィッシングに使用される可能性があります。また、住所や連絡先情報などの個人情報の公開を望まない人々のプライバシーも脅かします。

暴露のタイムライン

Compariech のサイバーセキュリティ研究チームの責任者である Bob Diachenko 氏は、2021 年 6 月 26 日にこのデータベースを発見しました。それがどのくらいの期間にわたって公開されていたのかはわかりません。



あらゆる手段を尽くしましたが、データベースの所有者を特定できませんでした。ディアチェンコ氏は、データベースのサーバーをホストしていたアマゾン ウェブ サービスに連絡して、データベースの削除を要求した。

データは 2021 年 7 月 27 日までアクセスできました。

合計すると、情報は少なくとも 1 か月間暴露されました。私たちのハニーポット実験では、サイバー犯罪者がこのような安全でないデータベースを見つけてアクセスできることが示されています。 数時間

どのようなデータが流出したのでしょうか?

米国居住者のデータ漏洩記録
公開されたデータベースからの単一レコードの小さなサンプル。

Elasticsearch データベースは Amazon Web Services 上でホストされており、アクセスに認証を必要としない公開された Kibana インターフェイスを通じてアクセスできました。合計 3,500 万件以上のレコードが含まれていました。これらの各レコードには、次の情報のすべてまたは一部が含まれていました。

  • フルネーム
  • 自宅の住所
  • 生年月日
  • 電話番号
  • 電子メールアドレス
  • 民族
  • 性別
  • 配偶者の有無
  • 職業
  • カテゴリ別人口統計データ。これらはデータ主体の指標です。
    • 興味のあること(自動車、ワイン、編み物など)
    • メディア消費 (PC ゲーマー、衛星テレビの加入者、オーディオブックのリスナーなど)
    • 推定収入
    • 推定純資産
    • ペットの飼い方
    • 物件情報(住宅の推定価格、購入日、プールの有無など)
    • ライフスタイル(スポーツ、裕福、ハイテクなど)
    • 購入習慣 (クレジット カードの階層、ジュエリーの購入、クレジット ラインの数など)
    • 所属 (慈善団体の種類、政党など)

各個人の記録には 268 の情報フィールドが含まれているため、ここではすべてを説明しません。

データ主体のほとんどはイリノイ州とカリフォルニア州の居住者であると思われますが、近隣の州に関連するものもいくつかあります。コンパリテックは、データベース内の情報が本物であることを確認するために、公開された名前と電話番号を使用して少数のデータ主体に連絡しました。

データベース内の各レコードには、8 桁または 9 桁の ID 番号も含まれています。一見すると、これらの一部は社会保障番号であるように見えますが、さらなる調査の結果、そうではないと考えられます。それにもかかわらず、私たちは依然としてデュページ郡の住民に対し、注意を怠り、個人情報の盗難未遂事件が発生した場合は通報するよう強く勧めています。 FTC

データベースには財務情報やパスワードはありませんでした。

データはどこから来たのでしょうか?

我々は知りません。

データが誰のものであるかを示す証拠はまだ発見できていません。所有者である可能性があるとして私たちがアプローチした組織は、データが自分たちのものであることを否定しました。唯一の手掛かりは、ホスティング サーバーのタイムゾーンがインドのコルカタに設定されていることです。

データベースのタイムスタンプは、2010 年には情報の収集が開始されたことを示しています。最近では 2021 年 5 月に既存の情報が更新され、新しい情報が追加されました。

このデータはマーケティング目的で使用された可能性が最も高くなります。

レコードの大部分には、情報の出所を示唆する可能性のある「ソース ドメイン」と呼ばれるフィールドが含まれています。このフィールドには、データが元々収集された可能性のある Web サイトのドメインが含まれることがよくありました。これらの Web サイトは、完全な詐欺ではないにしても、持ち家への賃貸、クルーズの特典、前払い、現金の懸賞など、危険な内容であることが多かったので、これがスパムまたは詐欺マーケティング データベースである可能性が高いと思われます。

しかし、すべてのデータを集約し、最終的にウェブ上に公開した個人または組織の身元については、わかりません。

情報漏洩の危険性

人口統計データと連絡先情報の組み合わせは、スパマーや詐欺師にとって宝の山です。彼らはその情報を使用して、個人化された電子メール、テキストメッセージ、電話で被害者に連絡することができます。シカゴ、ロサンゼルス、サンディエゴの居住者は、詐欺やフィッシング詐欺に注意する必要があります。

迷惑メール内のリンクは決してクリックしないでください。個人情報や財務情報を提供する前に、必ず送信者の身元を確認してください。

この情報は、名前、連絡先、住所の公表を望まない人々のプライバシーも脅かします。例を挙げると、家庭内暴力の被害者、不法移民、裁判官、弁護士、元犯罪者などです。

このデータインシデントを報告した理由

Comparitech のサイバーセキュリティ研究チームは、個人情報を含む保護されていないデータベースがないかインターネットを定期的にスキャンしています。漏洩したデータベースを発見すると、直ちにその責任の所在、影響を受ける可能性のある人物、漏洩したデータ、およびエンドユーザーへの潜在的な影響の調査を開始します。

データの責任者を特定したら、当社の責任ある開示ポリシーに従って直ちに警告します。データが確保され、調査が完了次第、意識を高めてエンドユーザーへの被害を抑制するために、このような記事を公開します。この場合、所有者の特定に失敗したため、ホスティングプロバイダーのアマゾン ウェブ サービスに警告し、アマゾン ウェブ サービスが当社に代わって所有者に連絡しました。

以前のデータ インシデント レポート

Comparitech は、次のような今回のようなデータ インシデントをいくつか発見し、報告しました。

^