英国最大級のオンラインメディアである「The Telegraph」は、データベースの1つを適切に保護しなかったため、10TBのデータを流出させました。
流出した情報には、内部ログ、購読者のフルネーム、電子メールアドレス、デバイス情報、URLリクエスト、IPアドレス、認証トークン、読者の固有識別子などが含まれています。
2021年9月14日に保護されていないデータセットを発見した研究者のボブ・ディアチェンコは、彼が確認した時点で少なくとも1,200件の暗号化されていない連絡先がパスワードなしでアクセス可能であったことを確認しています。
注目すべきは、これらの事例の多くがApple News購読者の登録者情報に関するもので、平文のパスワードも含まれています。
この新聞社にはすぐに連絡が入りましたが、最終的に対応してデータベースを確保するまでに2日を要しました。
このインスタンスが専門の検索エンジンにインデックスされたのは2021年9月1日のため、データが露出状態になっていた期間は少なくとも3週間です。これは、攻撃者や自動スキャナーが、公開されたデータベースを見つけ、含まれるデータを流出させるのに十分な時間となっています。
影響を受けるのは一部の加入者のみ
今回のデータ流出の結果、流出してしまった可能性のある方は、主にメールでの詐欺やフィッシングに遭うリスクがあります。
また、URLリクエストの流出は、ニュースプラットフォーム上でのユーザーの閲覧履歴を構築するために使用される可能性があるため、プライバシー上のリスクもあります。
The Telegraph社にとっての影響としては、盗まれたアクセストークンが非購読者に利用され、同社のペイウォールにロックされたコンテンツにアクセスされる可能性がありますが、リセットすることで解決できるとのことです。
上記を受けて、The Telegraph社は、
当社は9月16日にこの発見に気付き、データを保護するために直ちに対応しました。
調査の結果、データが流出したのはごく少数の記録であり、当社のユーザーの0.1%にも満たないことが判明しましたので、すべてのユーザーに連絡してお知らせしました。
また、調査の結果、データは流出したものの、研究者が投稿した内容以外には侵害されていないとの結論に達しました。
私たちは、責任を持って脆弱性や公開情報を開示してくれる独立した研究者の活動に感謝しており、私たちの資産を保護するための継続的な活動には欠かせません。
このコメントによると影響を受けた個人の数は600人で、ダイチェンコが見た暴露情報よりも少ないとのことです。また、テレグラフ社は、ダイチェンコが機密データにアクセスした最初で最後の人物であることから、これらの人々が悪用される危険性はないとしています。
もしテレグラフの購読者であれば、パスワードをリセットし、大胆な主張やアカウントを保護するための緊急措置を求める未承諾メールに警戒することをお勧めします。
Comments