米国政府が発行する出生証明書および死亡証明書の写しを提供するオンラインサービス会社が個人情報を含む大量の申請データを外部に流出させた。出生証明書の写しの申請書75万2000件以上がAmazon Web Service(AWS)のストレージバケットで見つかった(バケットには死亡証明書の申請9万400件もあったがこちらはアクセスやダウンロードができない状態だった)。当該バケットはパスワードで保護されておらず、容易に推定できるウェブアドレスを知っている人ならだれでもデータをアクセスできる。
申請プロセスは州によって異なるが、行われる作業は同じだ。利用者は州の記録管理部門、通常は州保健局に申請して出生証明書の写しを入手する。本誌が見た申請データには、申請者の氏名、生年月日、現在の住所、メールアドレス、電話番号、個人記録履歴のほか、過去の住所、家族の名前、申請理由(パスポートの申請、家系の調査など)が書かれていた。
カリフォルニア、ニューヨーク、テキサスを含む多くの州の出生証明書の写しの申請データがネットに流出した(画像:TechCrunch)
申請の日付は2017年後半に遡り、バケットは毎日更新されていた。同社は週当たり約9000件の申請データをバケットに追加していた。英国の侵入テスト会社であるFidus Information Securityがデータ流出を発見した。TechCrun
コメント