ブログ

英国のガス ソフトウェア ベンダー、360 万件の顧客メール アドレスをパスワードなしで Web 上に公開

英国のガス



英国のエネルギーおよび家庭サービスプロバイダー British Gas に代わって活動するソフトウェア ベンダーである Cheetah Digital は、360 万件の British Gas 顧客の電子メール アドレスとタイムスタンプおよび電子メールの件名を含む電子メール サーバーを Web 上に公開しました。 Comparitech の研究者によって発見されたこのデータは、パスワードやその他の認証を必要とせずにアクセスできました。

英国のガスデータ



コンパリテック社のサイバーセキュリティ研究チームを率いるボブ・ディアチェンコ氏は、2021年4月30日にブリティッシュ・ガス社に暴露を報告した。ブリティッシュ・ガス社の親会社であるセントリカ社は事件を認め、その1日後にチーター・デジタル社がデータを確保した。

このデータが悪意のある当事者によってアクセスされた場合、暴露されたデータを使用して、より説得力のあるパーソナライズされたメッセージをカスタマイズして、ブリティッシュ・ガスの顧客を詐欺やフィッシングメールで標的にするために使用される可能性があります。



Centrica は Comparitech に対し次の声明で回答しました。

当社では、顧客の電子メール アドレスの一部が第三者のマーケティング代理店によって公開されたことを認識しており、その後、このデータが直ちに削除されるよう迅速な措置を講じました。パスワードや財務情報が共有されていないことは確認できていますが、マーケティング通知を購読していた一部の顧客の電子メール アドレスがオンラインで公開されていました。当社は顧客データの保護を非常に重視しており、サードパーティ パートナーにも同様の高い基準を適用することを期待しているため、このようなことが起こったことを残念に思います。当社のサプライヤーは現在、このようなことが二度と起こらないようにさらなる対策を講じていると保証してくれました。

データを公開したソフトウェアベンダーであるCheetah Digitalは次の声明を発表した。

「5 月初旬、Cheetah Digital は、外部のセキュリティ専門家が英国のクライアントに属する電子メール アドレスにアクセスできるようにする分離システムの設定ミスに気づきました。構成ミスは直ちに対処され、修正され、正式な調査が開始されました。調査の結果、アクセスは外部のセキュリティ専門家に限定されていたことが確認されました。 Cheetah Digital はクライアントのデータの保護を非常に真剣に受け止めており、導入された対策と追加の保護措置により問題が完全に解決されたと確信しています。」

British Gas は英国の 1,200 万世帯にサービスを提供しており、国内最大のエネルギー供給会社です。

暴露のタイムライン

これまでに起こったことは次のとおりです。

  • 2021 年 4 月 29 日: データベースは検索エンジンによって最初にインデックス付けされました。
  • 2021 年 4 月 30 日: ディアチェンコ氏はデータを発見し、当社の責任ある開示ポリシーに従って直ちにブリティッシュ・ガスに警告しました。
  • 2021 年 5 月 1 日: Cheetah Digital がデータを保護しました。

検索エンジンによってインデックスが作成される前にサーバーがどのくらいの期間公開されていたかはわかりません。また、その間に他の第三者がサーバーにアクセスしたかどうかもわかりません。ブリティッシュ・ガスとチーター・デジタルは、ディアチェンコ以外の第三者がデータにアクセスしたことは見つからなかったと述べた。

私たちのハニーポット調査によると、 攻撃者は数時間以内に保護されていないサーバーを見つけてアクセスできる

どのようなデータが流出したのか

British Gas は Comparitech に対し、流出した電子メール アドレスは同社とのマーケティング コミュニケーションに登録した顧客のものであると語った。
英国のガスメールのログデータ

Diachenko 氏は、Amazon Elasticsearch サーバー上で公開されているメール ログを発見しました。合計 1,806 万 5,470 件の記録が流出しました。それらの記録には次のことが含まれていました360 万の一意の電子メール アドレス。各レコードには、次の情報のすべてまたは一部が含まれていました。

  • お客様のメールアドレス
  • メールの件名
  • メールの送受信日
  • メッセージID

支払い情報、電子メール本文の内容、パスワード、その他の顧客情報は漏洩していないようであることを報告できることをうれしく思いますが、このインシデントによって生じた危険は依然として存在します (下記を参照)。

データ漏洩の危険性

British Gas は、暴露中に悪意のある活動の証拠はなかったと述べていますが、影響を受けた顧客には予防措置を講じることを依然として推奨しています。

British Gas の顧客は、British Gas または関連会社を装った詐欺師からのフィッシングメールに注意する必要があります。詐欺メールは、被害者をだましてフィッシング サイトへのリンクをクリックさせようとします。このサイトは、被害者にパスワードや支払い情報を入力させるために正規のサイトであるかのように見せかけ、それらの情報が盗まれます。

フィッシングメールを見分けるためのヒントをいくつか紹介します。

  • 送信者は被害者に危機感を植え付けようとします。急いでいると感じたら、詐欺の可能性があると考えて立ち止まってください。公共事業の場合、これには、請求書の滞納、必要なアップグレードや修理、払い戻し、サービスの停止に関する脅迫が含まれる場合があります。
  • 送信者の電子メールのドメイン (@ の後に続くもの) にスペル ミスがないか確認してください。 British Gas の公式メール アドレスと比較してください。
  • 迷惑メール内のリンクや添付ファイルは決してクリックしないでください。
  • 遠慮せずに British Gas に直接電話して、メールについて問い合わせてください。

このデータは、詐欺師が他人の名前で公共料金にサインアップしたり、既存のサービスを継続したりする公共料金詐欺にも使用される可能性があります。ただし、データベースには名前やその他の個人情報は含まれていなかったため、このような攻撃には追加情報が必要になる可能性があります。

ブリティッシュ・ガスとチーター・デジタルについて

British Gas は英国最大のエネルギー供給会社で、1,200 万以上の家庭や企業に電気とガスを供給しています。 Centrica Plc の子会社です。

中心的な

ブリティッシュ・ガス社のデータ事故はこれが初めてではない。以前の事件ではより機密情報が漏洩しましたが、発生した規模ははるかに小規模でした。

チーターデジタル

チーターデジタル は、1998 年に設立された米国に本拠を置くソフトウェア ベンダーです。市場データの分析やターゲットを絞ったマーケティング キャンペーンの展開など、マーケティングと顧客エンゲージメントを専門としています。同社の他の顧客にはウォルグリーン社やシェル社も含まれる(どちらも今回の事件の影響を受けていない)。

このデータインシデントを報告した理由

コンパリテックの研究者は、個人情報を含む脆弱なデータベースがないかインターネットを定期的にスキャンしています。このような保護されていないデータベースを発見した場合、当社はただちに調査を開始し、誰がその責任を負うのか、誰が影響を受けるのか、どのようなタイプのデータが公開されるのか、その結果データ主体がどのような潜在的な影響に直面する可能性があるのか​​を判断します。

所有者を特定したら、データをできるだけ早く保護できるよう、責任ある開示ポリシーに従って直ちにアラートを送信します。その後、このような記事を公開して、意識を高め、エンドユーザーへの被害を抑制します。

以前のデータ インシデント レポート

Comparitech は、次のような多くのデータ インシデント レポートを公開しています。

^