2020/11/09

データを漏えいした企業と、漏えいされたユーザ双方にとっての苦難

Mega Data

2020 年 11 月 9 日 Josh Stuifbergen 著

Web サイト「GrowDiaries」では、栽培者が高品位な大麻の栽培方法を共有し、そのナレッジを拡げていましたが、第三者がアクセスできる脆弱な状態でこれらの情報が放置されていたと知ったら、失望を禁じ得ないでしょう。これらの情報は Elasticsearch データベースに接続された 2 つの Kibana アプリケーションからアクセスできるようになっており、アカウントの認証情報と IP アドレスも漏洩した可能性があります。

データ漏洩セキュリティ分野の有能な研究者 Bob Diachenko 氏がその欠陥について指摘をしたのち、GrowDiaries はセキュリティホールを修正しました。漏洩したデータベースから、第三者によってデータが抽出されたかどうかは不明です。

このような問題は枚挙に暇はありません。会社名、脆弱性のあるテクノロジ、研究者の名前をそれぞれ別のものに入れ替えれば、毎日のようにニュースで報道される新しいデータ侵害と一致します。しかしそのような企業の悪いニュースは、ユーザにとっては、情報をどこでどのように共有するかに細心の注意を払うべきだ、というよい警告となります。

パスワードについて企業が信頼できない場合は、所持するアカウントごとに異なるパスワードを設定しましょう。この場合パスワードをすべて記憶しなくて済むように、パスワードマネージャを使用することになるかもしれません。では大麻の栽培が大罪である国に居住しているにもかかわらず GrowDiaries にアカウントがある場合はどうすればいいのでしょうか。IP アドレスが公開されれば、権力機関に追及されるリスクがあると思うのであれば、GrowDiaries のようなサイトとどのように関わるのか、慎重に考えるべきです。IP アドレス漏洩による被害を抑えるためには、VPN 接続をすることが有効な場合もあります(それでも絶対にアドレスが漏洩しないわけではありません)。