大量データ流出のEquifax、さらに別な機密情報にアクセス可能な状況
コメント
注目のコメント
米国の消費者信用情報企業のEquifaxの情報漏えい事件は1億4,300万人という規模も凄いが、状況が明らかになるに連れてはっきりし始めた、同社の情報管理体制の甘さに驚きを隠せない。
アルゼンチンオフィスの従業員ポータルにユーザー名:admin、パスワード:admin で侵入でき、その後、さまざまな重要情報が閲覧可能だったとか。
「多くの個人情報が存在しないセキュリティによって保護されている事実に驚きを禁じ得ない」と書かれているが、まさにその通り。
セキュリティ監査基準はいくつかあるが、それらを取得していないようなところに、消費者信用情報などを扱わせることを許可していたのだろうか。もしくは、監査漏れか?下記の記事では脆弱性をついたとかあるけど、実体は脆弱性以前の問題ということですね。10年前ならまだしも、今の時代にこれはいくらなんでも酷い。
https://s.news.mynavi.jp/news/2017/09/10/083/index.html?lead個人情報の中でも最高位にセンシティブな情報を扱っていながら、Equifaxという会社のセキュリティ対策は信じられないくらいお粗末。
大量データ流出も、あれだけ騒がれたStruts2のセキュリティ・パッチを当てていなかったことが原因だという。
http://www.itmedia.co.jp/enterprise/articles/1709/15/news053.html
その後も、公式Twitterで、偽サイトへの誘導をおこなうなど、やることすべてがデタラメ。
http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html