Uber Drivers’ Data Exposed in Breach of Law Firm’s Servers
2023/04/06 InfoSecurity — Uber の代理として機能する中堅の法律事務所が、サイバー攻撃により機密データが暴露され盗まれたことを、不特定のドライバーたちに通知した。The Register が入手したのは、ニュージャージー州に拠点を置く Genova Burns が、顧客向けの電子メールで公表した、この情報漏洩の内容である。
Genova Burns は、「我々のシステムに第三者が不正にアクセスし、2023年1月23日〜1月31日において、特定の限定されたファイルがアクセスされ、流出したと判断した。調査の結果、あなたが Uber に提供した情報 (氏名/社会保障番号/納税者番号など) が、それらのデータの中に含まれていることが判明した」と述べている。
Genova Burns は、現時点において法執行機関と共同で、このインシデントを調査していると付け加えている。同社は、すべてのシステム・パスワードを変更し、影響を受けたドライバーには、Kroll を通じて 12ヶ月間の ID 監視サービスを無料で提供すると述べている。
Zimperium の VP of Product Strategy である Krishna Vishnubhotla によると、サードパーティのサービスに大きく依存する企業が増えているとのことだ。彼は、「典型的な企業のビジネスでは、1000以上のクラウド・サービスやアプリケーションを使用しており、その多くはサードパーティのサービスである」と述べている。
そして Vishnubhotla は、「この問題の核心は、複数の当事者間での機密データの交換と収益化である。このようなインシデントが一旦でも起こってしまうと、どの企業にとっても、問題となったデータの所在が不明となり、適切に保護されているかを把握できなくなる」と指摘している。
Pathlock の CEO である Piyush Pandey は、「基幹業務システムに対する第三者のアクセスは、最も厳格なアクセス・コントロールの下で管理する必要がある」とアドバイスしている。
同幹部は、「Uber のような公共性の高い規制対象企業では、高度に監視された方法でサードパーティ・アクセスが制御されるように、特定の規制が付随していることが多いと。サードパーティのアクセス管理において、多くの組織が直面する課題は、レビュー・プロセスに膨大な時間が掛かるということだ。真に効果的なものにするためには、サードパーティ・アクセスのレビューについて、ワークフローを自動化し、可能な限りリスクを低減するために、ポリシーを積極的に調整することが必要となる」と指摘している。
Uber のインシデントに関しては、2022/12/13 の「Uber ユーザー情報 2,000万件が流出:サードパーティ Teqtivity のデータ侵害が原因?」が直近のものとなります。このときは、U,000万件のデータを含むとされる、600MB のアーカイブ・ファイルが、UberLeak というユーザーにより公開されたようです。サプライチェーンは怖いですね。
2022/09/19:Uber で生じたデータ侵害:Lapsus$
2022/09/17:Uber 機密情報へのアクセスの証拠は無い
2022/01/02:Uber が無視する脆弱性:偽メールに警戒が必要
IoT OT Security News 
You must be logged in to post a comment.