Chase Bank の障害により顧客間でのデータ参照が可能になってしまった

Chase bank accidentally leaked customer info to other customers

2021/08/17 BleepingComputer — Chase Bank は、同社のオンライン・バンキングの Web サイトおよびアプリに技術的なバグが存在し、顧客情報が他の顧客に流出したことを認めた。ニューヨークに本社を置 JPMorgan Chase Bank は、年間売上高が $120 billion で、全世界で25万人以上の従業員を擁する金融サービス大手だ。

銀行取引明細書、口座番号、残高が流出

Chase Bank 顧客の、明細書および、取引リスト、氏名、口座番号などの個人情報が、他の顧客に流出した可能性がある。この問題は、今年5月24日から7月14日の間に発生したと考えられており、同様の情報を共有するオンライン・バンキングおよび Chase Mobile アプリの顧客に影響を与えた。BleepingComputer が入手したデータ・インシデント通知書のコピーによると、Chase はこの問題を「技術的な問題」としている。その通知書には、「技術的な問題により、類似した個人情報を持つ別の顧客が、chase.com や Chase Mobile アプリで口座情報を参照すること、および、口座明細を受け取ってしまうことを、誤って許可した可能性があることが分かった」と書かれている。どのような状況で、どのようにして、他の顧客の個人情報が参照されるのかは、今のところ明確になっていない。また、この問題が特定のグループ (クレジットカード保有者、個人または法人の銀行顧客、あるいは全員) に影響を与えたのかどうかも曖昧だ。Chase Bank では、これまでのところ、情報が悪用されたことを示す証拠は見つかっていないとしている。

影響を受けた顧客には無料のクレジット・モニタリングを提供

業界の標準的な慣行として、Chase Bank は影響を受けた顧客に通知を行い、無料のクレジット・モニタリング・サービスを提供している。同行は、「顧客を失望させてしまったことを謝罪するとともに、Experian の IdentityWorks による、1年間の無料クレジット・モニタリングを提供する」と述べている。影響を受けた顧客のデータインシデント通知書には、固有のアクティベーション・コードが記載されており、それを使って当該サービスに申し込むことが可能だ。2014年に Chase Bank は、8,300万件以上のアカウント・データが流出したとされる、大規模なデータインシデントに見舞われ、フィッシング攻撃への懸念が高まった。今回のインシデントに関連して、データが悪用された形跡は、今のところ確認されていないが、Chase を装うフィッシング・メールを受け取る可能性もあるため、引き続き警戒が必要だ。BleepingComputer は Chase に対し、この問題で影響を受けた顧客数や原因など、具体的な質問をしているが、現時点では回答が戻っていない。

技術的な問題によりと説明している Chase Bank ですが、どのようなソフトウェアのバグなのかくらいは、公表してほしいと思います。もちろん、それにより被害が広がることは防がなければなりませんが、差し障りのない範囲で、詳細情報は共有されるべきです。おそらく、何らかの報告書が提出されるはずなので、それを待つことになるのでしょう。 先日に「Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?」をポストしていて、ちょっと気になったので検索したら、「AWS re:Invent 2020 – Lori Beer of JPMorgan Chase on Using AWS to Modernize and Innovate」が見つかりました。

%d bloggers like this: