2019 年 10 月 23 日 Emil Hozan 著

vpnMentor の研究チームの Noam Rotem 氏と Ran Locar 氏が最近、暗号化されていないデータベースが保護されていない状態でオンラインに公開されているのを発見しました。このデータベースは、予約管理システムである AutoClerk のもので、Best Western Hotels and Resort Group がこの発見の前に AutoClerk を購入していたことがわかりました。

データベースのサイズは全部で 179GB 以上にのぼり、外部に公開されていたデータには、氏名、生年月日、自宅の住所、電話番号、旅行の日付と料金、および一部がマスクされたクレジットカードの詳細などの機密情報が含まれていました。

旅行に関する情報が流出すると、海外に滞在している間に自宅に侵入され、強盗の被害者になってしまう恐れがあります。政府職員にも同じことが言えますが、彼らの場合は、旅行中に他の攻撃の標的になる可能性もあります。たとえば、政府職員の外出中に敵国が情報を手に入れ、待ち伏せしたり、尾行したりすることもあるでしょう。このような情報の流出は、旅行計画を SNS に投稿し、偽装や不正侵入などの方法でフォローを許可してしまった犯罪者に旅行中であることを知られてしまって、留守中に強盗に入られてしまうのとよく似ています。

vpnMentor は最近旅行をしたことがある方に対し、滞在したホテルに問い合わせて、ご自分がこの情報流出の被害者かどうかを確認するよう推奨しています。管理者の方には、データベースをロックし、アクセス制御ルールを実装することをお勧めします。いかなる認証もなく、オンラインで外部に公開されている機密情報をホスティングするサーバが存在してはなりません。