過去には日本でもサービスを提供していた中国発のシェアサイクルサービス「Mobike」が、パスポート・運転免許証といったユーザーの個人情報12万件超を暗号化しないままオンライン上に保存されていることが明らかになり問題視されています。
One of those weird ‘no-one-to-blame’ incidents exposing massive amount of users PII. Kudos to @zackwhittaker for following this until the end. https://t.co/qbFVqwIzQE
— Bob Diachenko (@MayhemDayOne)
サイバーセキュリティの研究集団であるSecurity Discoveryに所属するボブ・ディアチェンコ氏がTechCrunchに語った内容によると、2022年2月11日にAmazonがホストする保護されていないストレージバケット上で、Mobikeユーザーのパスポートや運転免許証のデータが保管されていることを発見したそうです。ディアチェンコ氏は「簡単に推測可能なMobikeの利用しているバケット名を知っていれば、誰でも2017年以降にMobikeにアップロードされた身分証明書の山をウェブブラウザから閲覧できてしまいます」と指摘しています。
このバケット上にはMobikeユーザーがサービスを利用する際にアップロードを求められるパスポートや運転免許証といった身分証明書データが保存されている模様。また、バケットにはユーザーIDを認証するために登録を求められる9万4000枚の「ユーザーの自撮り写真」と、4万9000件のユーザー署名も含まれているそうです。なお、バケット上で見つかった身分証明書のほとんどはアルゼンチンやブラジルといったラテンアメリカのユーザーのもので、バケット上のデータはすべて暗号化されていません。
Mobikeは2015年に中国・北京で始まったスタートアップで、かつては中国におけるシェアバイクサービスのパイオニアとして隆盛を誇りました。しかし、その後は事業が苦境に立たされることとなり、2018年には中国のオンデマンドサービス大手であるMeituanに買収され、これを機にMobikeの国際事業はことごとく撤退することとなりました。その後、Mobikeは中国のシェアバイク事業を「Meituan Bike」にリブランディングしていますが、北東アジアやラテンアメリカ、ヨーロッパといった地域では現地のパートナーと協力して事業を続けてきました。
しかし、ディアチェンコ氏がユーザーの個人情報が保護されないまま公開されていることを指摘したのち、「誰もデータの所有権、あるいは責任を負いたがっていないように思えます」とTechCrunchは報じています。
なお、Meituanの広報担当者は「2019年8月にMobikeのラテンアメリカ事業を売却したため、今回の問題と我々は何の関係もない」と述べています。また、秘密保持契約を理由に誰がMobikeのラテンアメリカ事業を買収したかについては明らかにしていません。そのため、「今回の顧客データ問題について誰に連絡すべきかを知ることはできません」とTechCrunch。ただし、公開されたままになっているバケット内に保存されているデータのほとんどはMeituanがMobikeのラテンアメリカ事業を売却する2019年8月以前のものだそうです。
なお、ディアチェンコ氏が発見したバケット上のユーザーデータがどの程度の期間公開されたまま放置されているのか、あるいはいつどのように公開されたのかなどは不明です。Amazonのストレージバケットはデフォルトではプライベートになっているため、バケットを制御できる何者かがパブリックアクセスを許可した可能性が挙げられています。
この記事のタイトルとURLをコピーする
・関連記事
人気NFTコレクションの「Bored Apes Yacht Club」が再びハッキングされ4800万円相当の被害が発生 – GIGAZINE
Confluenceのゼロデイ脆弱性にすでに中国から攻撃あり、Atlassianはパッチ提供までネットからのアクセス遮断を推奨 – GIGAZINE
ポート番号3306を使用する約360万台のMySQLサーバーが公開され潜在的な攻撃対象となっていることが判明 – GIGAZINE
Microsoftの診断ツールに見つかったゼロデイ脆弱性「Follina」を中国関連の脅威アクターが悪用している – GIGAZINE
数百万ダウンロードされたAndroid向けアプリに影響する深刻度の高い脆弱性の存在が明らかに – GIGAZINE
・関連コンテンツ
