コンピュータ・ハードウェア・メーカーのZotac社は、返品承認(RMA)リクエストと関連書類を不明な期間オンライン上に公開し、機密性の高い顧客情報を流出させた。
Zotac社は、コンパクトPCやミニPC、高性能グラフィックカード、マザーボード、コンピュータアクセサリーなどで知られているが、RMAデータを保存するウェブフォルダの設定を誤ったため、検索エンジンにインデックスされてしまった。
これは通常、Zotac社の社員と呼ばれる正規ユーザーのみにアクセスを制限するパーミッションが不適切で、機密フォルダを除外するようクローラーに指示するタグや「robots.txt」ファイルがなかったことが原因です。
その結果、「zotacusa.com」のサイトパラメータとともに人名または会社名を含むGoogle検索クエリによって、請求書、住所、リクエスト詳細、連絡先情報などの個人情報が公開された。
この情報流出は、YouTubeの技術チャンネルGamersNexusの視聴者によって発見された。同チャンネルは先週末、ハードウェア・ベンダーの名前を出さずにXでこのリークを報告した。
一方、GamersNexusはZotacの最大手パートナー数社に機密データ流出についての認識を高めるよう通知し、修復作業が進められている。
YouTubeチャンネルは、Zotac USAから回答を得た後、昨日公開したビデオで犯人がZotac USAであることを明らかにした。
現在、ほとんどのデータは保護されているが、Google検索にはまだ表示されている。とはいえ、非公開文書のほとんどはもはや一般にはアクセスできない。
GamersNexusは最終的にZotacの広報担当者と連絡を取り、同社はRMAポータルの文書アップロードボタンを無効にし、現在は顧客にリクエストに添付するファイルを電子メールで送るよう求めていると伝えた。
ZotacのRMAサービスを利用したことがある人は、個人情報が流出したと考え、リスクを軽減するために必要な予防措置を講じる必要があります。現在、暴露の期間が不明であるため、「安全な」RMAの日付はありません。
はデータ流出に関する詳細を知るためにZotacに問い合わせたが、声明はすぐに得られなかった。
Comments