hacking-2903156_m

1: 2018/06/10(日) 18:20:17.92 ID:CAP_USER

自動車メーカー「ホンダ」のインド法人Honda Cars Indiaでは、自動車と連動するアプリHonda Connectを提供しています。「このアプリに登録しているユーザーの個人情報5万人分以上がクラウドサービス上で公開されていた」ということをIT企業のKromtechのセキュリティ部門「Kromtech Security Center」が2018年5月30日に発表しました。

Honda Connectは、Honda Cars Indiaが提供しているスマートフォン・モバイル端末向けのアプリ。アプリとホンダ車が連携することで、アプリを通して自分の自動車の情報を把握することが可能。ユーザーが所有しているホンダ車の燃料の残量やエンジンの温度の確認、メンテナンス状態の警告発信、運転情報の記録、車両位置情報のメール送付、事故発生時におけるホンダのコールセンターへのシグナル発信、マップアプリと連動したナビゲーションといった機能が使えるようになります。

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクトリ「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

もし、これらの情報が漏洩して悪意のある攻撃者に渡った場合、データベース内に記載されているすべてのスマートフォンにアクセスできる可能性があります。さらに、漏えいしたスマートフォン情報と自動車がペア設定されている場合は、ユーザーの多くの行動が追跡されます。攻撃者は、ユーザーが自動車の運転をどこで開始・停止したかを把握できるので、自動車の使用履歴から、自動車の所有車の住居・仕事・買い物・遊ぶ場所など、ユーザーの日々の活動を知ることができます。

これらの個人情報が漏えいした場合、悪意のある攻撃者は、漏えいした連絡先のユーザーになりすまして、詐欺メールやデバイスのアクセス権を奪うマルウェアのメールなどを送信する危険がないとも限りません。

Kromtechの専門家がこのデータベースを閲覧する前に、他の閲覧者が少なくとも1人はいたことがわかっています。なぜなら、Kromtechの専門家がこの公開データベースを発見した時にはすでに、セキュリティ研究者の Random Robbie(@Random_Robbie )氏が残した「poc.txt」という2018年2月28日のタイムスタンプがあるファイルが含まれていたからです。つまり、Honda Car Indiaはこのデータベースが含まれたバケットに対して監視が甘く、バケットにこのファイルが残されたことに気付けなかったというわけです。

Kromtechの専門家は、公開されているデータベースの状態についてHonda Cars Indiaに通知したとのこと。KromtechのDiachenko氏は「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」とBleeping Computerにコメントしました。
https://gigazine.net/news/20180609-honda-app-leaked-personal-information/


2: 2018/06/10(日) 18:32:03.74 ID:5or84kDp

漏洩者に莫大な罰金刑を設定すべきだな


3: 2018/06/10(日) 18:43:56.44 ID:6UqjnnEL

老害経営陣はマジでセキュリティに金をケチるからな
自民党はさっさとIT音痴の老害を引退させろよ


4: 2018/06/10(日) 18:47:39.33 ID:+gjr4vHG

インド人嘘つかない


5: 2018/06/10(日) 18:52:13.50 ID:m1/kt4C7

巨額集団訴訟来るね


18: 2018/06/10(日) 20:30:36.54 ID:/Zid1jpO

>>5
インド人だし一人一万円として5億円だな


6: 2018/06/10(日) 18:54:07.38 ID:VFS1oysO

人類にはITは早すぎた、あるいは個人情報保護なんて概念が早すぎた


7: 2018/06/10(日) 18:54:46.35 ID:VFS1oysO

むしろオープンにして売ってたんとちゃうんけ?


9: 2018/06/10(日) 19:07:55.38 ID:NK2pSHCU

あーあwやっちまったなw
制裁くらう口実を与えちゃったわw

ここで恒例、米司法省の日本企業への罰金がいくらになるかカケようぜw

オレは800億円くらいじゃないかと思うw


22: 2018/06/10(日) 20:53:32.02 ID:eeTL/ncz

>>9
インドだぞ


10: 2018/06/10(日) 19:09:57.26 ID:k05BLch9

Jの国の法則発動


23: 2018/06/10(日) 21:09:02.95 ID:anaBjy+J

>>10
Kの国にお帰りチョン


11: 2018/06/10(日) 19:12:25.29 ID:k/FeXsQM

「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」

インドの2週間は日本の2時間。


12: 2018/06/10(日) 19:17:30.21 ID:NK2pSHCU

米司法省の役人ってスゲー楽しそうw

各国に米国法に違反してると難癖つけては8500億円、1500億円、1200億円と
支払わせるんだからなw そして各国は逆らえないw

これほど面白い仕事は、ちょっと他に無いだろうw


13: 2018/06/10(日) 19:20:31.42 ID:8jDVqWNu

とても初歩的なミスだね。
笑えないレベル。
AWSでデータ管理しているのだから、
データ管理の責任はアマゾンに丸投げできるのに
利用者側が公開に設定しているなんて、お粗末すぎ。


14: 2018/06/10(日) 19:20:53.62 ID:szYNhWuA

パワポエンジニアリングで検索!


15: 2018/06/10(日) 19:24:16.66 ID:uAnJ7xgY

Power of Dreams


16: 2018/06/10(日) 19:28:24.77 ID:fLesziTL

HONDA


17: 2018/06/10(日) 19:36:37.61 ID:Gm18Sa65

計画通り


19: 2018/06/10(日) 20:32:58.31 ID:/Zid1jpO

インド人って本当にIT優秀なの?


21: 2018/06/10(日) 20:48:41.09 ID:loZzwwTp

>>19
二桁の九九があるよ。


20: 2018/06/10(日) 20:37:08.93 ID:3w67ULl3

超巨大訴訟の始まり


24: 2018/06/10(日) 21:17:36.25 ID:9J4YHo/r

これ、もしEUの個人データが含まれてたらGDPR違反でEUから制裁金を課せられるんじゃない?
最大で連結売上高の4%のリスクね


25: 2018/06/10(日) 21:29:53.79 ID:YsVBRyMk

お詫びは500円な


29: 2018/06/10(日) 23:53:25.48 ID:Q8JcSOHA

2週間が本当ならその間に何をしていたのだろうか?会議か?



引用元:http://anago.2ch.sc/test/read.cgi/bizplus/1528622417/