ESETは3月11日(米国時間)、「Over 2 billion records exposed by email marketing firm」において、Verifications.ioというメールマーケティング会社から20億件を超えるデータがインターネット経由で誰でもアクセスできる状態で置かれていたと伝えた。
メールアドレス、氏名、ソーシャルメディアアカウント、電話番号、生年月日、郵便番号、クレジットスコア情報、住宅ローンの金額、企業の名前や収益などがアクセス可能な状況にあったようだ。
データは情報セキュリティなどの業務に携わるBob Diachenko氏によって発見したもので、データ発見の経緯などは「800+ Million Emails Leaked Online by Email Verification Service - Security Discovery」にまとまっている。
データは保護されていないMongoDBサーバ上でデプロイされており、Diachenko氏が発見した時点で、8億8000万件を超えるデータにアクセスできる状態になっていたという。調査の結果、アクセス可能だったデータベースは1つではなく4つだったことがわかり、結果的に20億7000万件のデータがアクセス可能な状態になっていたとされている。
MongoDBのデータベースがインターネット経由でアクセス可能な状態になっていたためにデータが漏洩したケースはこれまでいくつも報告されている。データベースの設定にはくれぐれも気を付けたいものだ。