1: 2018/06/10(日) 18:20:17.92 ID:CAP_USER
自動車メーカー「ホンダ」のインド法人Honda Cars Indiaでは、自動車と連動するアプリHonda Connectを提供しています。「このアプリに登録しているユーザーの個人情報5万人分以上がクラウドサービス上で公開されていた」ということをIT企業のKromtechのセキュリティ部門「Kromtech Security Center」が2018年5月30日に発表しました。

Honda Connectは、Honda Cars Indiaが提供しているスマートフォン・モバイル端末向けのアプリ。アプリとホンダ車が連携することで、アプリを通して自分の自動車の情報を把握することが可能。ユーザーが所有しているホンダ車の燃料の残量やエンジンの温度の確認、メンテナンス状態の警告発信、運転情報の記録、車両位置情報のメール送付、事故発生時におけるホンダのコールセンターへのシグナル発信、マップアプリと連動したナビゲーションといった機能が使えるようになります。

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクトリ「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

もし、これらの情報が漏洩して悪意のある攻撃者に渡った場合、データベース内に記載されているすべてのスマートフォンにアクセスできる可能性があります。さらに、漏えいしたスマートフォン情報と自動車がペア設定されている場合は、ユーザーの多くの行動が追跡されます。攻撃者は、ユーザーが自動車の運転をどこで開始・停止したかを把握できるので、自動車の使用履歴から、自動車の所有車の住居・仕事・買い物・遊ぶ場所など、ユーザーの日々の活動を知ることができます。

これらの個人情報が漏えいした場合、悪意のある攻撃者は、漏えいした連絡先のユーザーになりすまして、詐欺メールやデバイスのアクセス権を奪うマルウェアのメールなどを送信する危険がないとも限りません。

Kromtechの専門家がこのデータベースを閲覧する前に、他の閲覧者が少なくとも1人はいたことがわかっています。なぜなら、Kromtechの専門家がこの公開データベースを発見した時にはすでに、セキュリティ研究者の Random Robbie(@Random_Robbie )氏が残した「poc.txt」という2018年2月28日のタイムスタンプがあるファイルが含まれていたからです。つまり、Honda Car Indiaはこのデータベースが含まれたバケットに対して監視が甘く、バケットにこのファイルが残されたことに気付けなかったというわけです。

Kromtechの専門家は、公開されているデータベースの状態についてHonda Cars Indiaに通知したとのこと。KromtechのDiachenko氏は「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」とBleeping Computerにコメントしました。
https://gigazine.net/news/20180609-honda-app-leaked-personal-information/

2: 2018/06/10(日) 18:32:03.74 ID:5or84kDp
漏洩者に莫大な罰金刑を設定すべきだな

4: 2018/06/10(日) 18:47:39.33 ID:+gjr4vHG
インド人嘘つかない

5: 2018/06/10(日) 18:52:13.50 ID:m1/kt4C7
巨額集団訴訟来るね

18: 2018/06/10(日) 20:30:36.54 ID:/Zid1jpO
>>5
インド人だし一人一万円として5億円だな

6: 2018/06/10(日) 18:54:07.38 ID:VFS1oysO
人類にはITは早すぎた、あるいは個人情報保護なんて概念が早すぎた

7: 2018/06/10(日) 18:54:46.35 ID:VFS1oysO
むしろオープンにして売ってたんとちゃうんけ?

9: 2018/06/10(日) 19:07:55.38 ID:NK2pSHCU
あーあwやっちまったなw
制裁くらう口実を与えちゃったわw

ここで恒例、米司法省の日本企業への罰金がいくらになるかカケようぜw

オレは800億円くらいじゃないかと思うw

22: 2018/06/10(日) 20:53:32.02 ID:eeTL/ncz
>>9
インドだぞ

10: 2018/06/10(日) 19:09:57.26 ID:k05BLch9
Jの国の法則発動

11: 2018/06/10(日) 19:12:25.29 ID:k/FeXsQM
「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」

インドの2週間は日本の2時間。

13: 2018/06/10(日) 19:20:31.42 ID:8jDVqWNu
とても初歩的なミスだね。
笑えないレベル。
AWSでデータ管理しているのだから、
データ管理の責任はアマゾンに丸投げできるのに
利用者側が公開に設定しているなんて、お粗末すぎ。

14: 2018/06/10(日) 19:20:53.62 ID:szYNhWuA
パワポエンジニアリングで検索!

15: 2018/06/10(日) 19:24:16.66 ID:uAnJ7xgY
Power of Dreams

16: 2018/06/10(日) 19:28:24.77 ID:fLesziTL
HONDA

17: 2018/06/10(日) 19:36:37.61 ID:Gm18Sa65
計画通り

19: 2018/06/10(日) 20:32:58.31 ID:/Zid1jpO
インド人って本当にIT優秀なの?

21: 2018/06/10(日) 20:48:41.09 ID:loZzwwTp
>>19
二桁の九九があるよ。

20: 2018/06/10(日) 20:37:08.93 ID:3w67ULl3
超巨大訴訟の始まり

24: 2018/06/10(日) 21:17:36.25 ID:9J4YHo/r
これ、もしEUの個人データが含まれてたらGDPR違反でEUから制裁金を課せられるんじゃない?
最大で連結売上高の4%のリスクね

25: 2018/06/10(日) 21:29:53.79 ID:YsVBRyMk
お詫びは500円な

30: 2018/06/11(月) 00:29:22.50 ID:BA7EM7vJ
これからはインドだの、やれオフショアだのw

29: 2018/06/10(日) 23:53:25.48 ID:Q8JcSOHA
2週間が本当ならその間に何をしていたのだろうか?会議か?

引用元: http://egg.5ch.net/test/read.cgi/bizplus/1528622417/