別の主要なデータ侵害がTroyHuntによって開示されました. 彼の言葉で, グローバルな求人会社MichaelPageでの違反は、オーストラリア赤十字社の事件と多くの共通点があります。. より具体的には:
赤十字のデータを見つけたのは同じ個人であり、サーバー側の潜在的なリスクを発見するという点で同じ話でした; 公開されたウェブサイト, ディレクトリリストが有効, .公開されたSQLファイル.
同じ人が連絡した ハント 英国の求職者に関するデータを含むバックアップファイルを彼に提供しました. 次に、アクセス可能なすべてのバックアップに 30 GBの生データ. 人数は, 英国のバックアップには次のデータがありました 780,000 人.
アクセスされたデータには人々の名前がありました, 電子メールアドレス, (暗号化) パスワード, 電話番号, 位置, 彼らの現在の仕事とカバーメッセージについての情報 (そのようなものが利用可能であった場合).
私が受け取ったファイルには、赤十字と同じようにそれを示すテーブル名が含まれていました, これはmysqldumpの出力であり、この場合、Acquiaを指すテーブル名が含まれていました。, ホストされたDrupalプラットフォーム. さらなる情報に続いて、人々が採用会社に提供することを期待する他のさまざまなフィールドとデータスニペットを示すスクリーンキャップ.
ハントは10月に違反について知りました 30. 彼はすぐに情報をキャップジェミニに送った, アウトソーシング会社とマイケルペイジのITプロバイダー.
マイケル・ペイジは事件について何と言いましたか?
申し訳ございませんが、 1 11月 2016, 許可されていない第三者が、ITプロバイダーが使用する開発サーバーに違法にオンラインアクセスしたことに気づきました。, PageGroupWebサイトをテストするためのCapgemini. 最近のウェブサイト活動の一環として提供された詳細が、アクセスされたものの中に特定されたことをお詫び申し上げます。.
MichaelPageはすぐにサーバーをロックダウンしました. また、すべての可能なエントリポイントを確保しました. 詳細な調査が開始され、会社は悪意を持ってデータが取得されなかったと結論付けることができました. 会社は、データのすべてのコピーを破棄または返却するように第三者に要求しました. その後、データは破棄されました, マイケルペイジは言う.
会社, でも, データがオンラインでアクセス可能であった期間を確認しませんでした. 悪意のある可能性のある当事者がデータを見つけたかどうかも不明です.
データ漏えい事件の強度を考慮する, Troy Huntの企業へのアドバイスは、バグの報奨金を利用して、通常はインシデントのせいである、ぶら下がっている脆弱性を修正することです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: