MyRepublic discloses data breach exposing government ID cards
2021/09/10 BleepingComputer — MyRepublic Singapore は、約8万人の携帯電話加入者の個人情報が流出したことを公表した。MyRepublic は、シンガポール/ニュージーランド/オーストラリアで事業を展開する、アジア太平洋地域における通信事業者であり ISP である。昨日、MyRepublic Singapore は、データ漏洩の通知メールの送信を開始している。その内容は、権限のない人物が、第三者のデータ・ストレージ・プラットフォームにアクセスしたことで、顧客の個人情報が漏洩したというものだ。
MyRepublic は、データストレージの安全性は確保されたとしているが、シンガポールに住む 79,388人の携帯電話加入者のデータに、権限のない人物がアクセスしたことは事実である。公開されたデータには、モバイル・サービスへの申込み時に必要となる、以下のような本人確認書類が含まれている。
・対象となるシンガポール国民:永住権保持者/雇用扶養パス保持者の場合:NRIC の両面のスキャン・コピー。
・対象となる外国人:居住地を証明する書類 (例:公共料金の請求書のスキャン・コピー)。
・既存の携帯電話サービスを移行する顧客:氏名および携帯電話番号。
なお、今回のインシデントにより、口座情報や支払情報にアクセスされた形跡はない。ストレージプラット・フォームについては公開されていないが、公開されたファイルの種類からして、不適切に保護されたストレージ・バケットである可能性がある。
MyRepublic は、シンガポールの Infocomm Media Development Authority および Personal Data Protection Commission に本件を報告し、これらの機関と協力してセキュリティ・インシデントの調査を行うとしている。また、同社は、シンガポールの KPMG と協力して、このインシデントの調査と解決に取り組んでいる。今回のデータ侵害の影響を受けた顧客に対して、MyRepublic は Credit Bureau Singapore (CBS) を介した無料の信用監視サービスを提供する。
影響を受けた顧客はどうすれば良いか?
メール・アドレスやログイン名などの、支払いやアカウントに関連する情報は流出しなかったが、個人情報の盗難につながる可能性のある、その他の機密情報はアクセスされている。盗まれた公共料金の請求書や、国民登録 ID カード (NRIC) の悪用により、脅威アクターが顧客名で口座を開設すすケースや、クレジットを受け取るケースが、生じる可能性がある。したがって、影響を受けた全顧客は、自身の信用報告書を監視し、自身の名前で不正な口座が作られないようにする必要がある。また、携帯電話番号が流出した顧客は、さらなる機密情報を盗み出そうとする SMS メールに注意する必要がある。
シンガポールのキャリアは、Singtel/M1/StarHub であり、この MyRepublic は MVNO のようです。いまの世の中、どこの国も同じでしょうが、あまりにもコストとスピードだけに注目すると、思いもよらぬ展開に巻き込まれます。明確にはされていませんが、どこかのストレージの問題という感じでしょうか。
IoT OT Security News 