数十年に及ぶ個人ユーザーデータの価値がRallyhoodによって公開されました
TechCrunchのZack WhittakerがRallyhoodに連絡して、非常に多くのユーザーデータを公開する誤って構成されたS3バケットについて話したとき 、彼は最初、リークの多いデータベースはテスト目的にのみ使用され、人々の実際の情報は高度に保護されたバケット。」その後、Rallyhoodの最高技術責任者であるChris Aldersonが別のバージョンのイベントを提供しました。彼は、移行プロジェクト中に、会社のストレージバケットの1つに対して「短時間」「許可が誤って開かれたままになった」ことを認めました。執筆時点で、これは、ラリーフッドが事件に関して世界の他の人々と共有している唯一の情報であり、漏洩したデータの量と性質を考えると、これはほとんど理想的ではないと言う必要があります。
別の日、別の漏れやすいS3バケットが何百万人ものユーザーのファイルを公開する
このリークは、TwitterのハンドルであるTimelessによって知られることを好むセキュリティ研究者によって発見されました。タイムレスは、データを可能な限り迅速に保護するためにTechCrunchの影響を利用することを決定しました。これは、Rallyhoodのビジネスと膨大なユーザーベースを考慮して、まさに最も緊急の課題でした。
ヤフーがヤフーグループにxをかけようとしていることをヤフーが発表したとき、ウェブサイトの人気は大きく後押しされ、多くの人々が議論をラリーフッドに移しました。ただし、Rallyhoodは単なるメッセージボードではありません。また、タスクやイベントの整理と追跡を目的として、あらゆる形や規模の組織で使用されるコラボレーションプラットフォームでもあります。これは、Rallyhoodが大量のデータを処理および保存する必要があることを意味します。
同社は、プラットフォームにアクティブなユーザーが何人いるかについては述べておらず、リークの影響を受ける正確な人数を推定することは現時点では実際には不可能です。私たちが知っていることは、S3バケットがなんと4.1TBのデータを保持しており、あまりにも一般的な設定ミスのおかげで、パスワードなしでパブリックにアクセスできることです。 Zack Whittakerによると、URLも「簡単に推測可能」であり、誰かが情報を手に入れる可能性がさらに現実的になりました。
公開されたデータの一部は非常に機密です
Whittakerはいくつかのファイルをレビューし、影響を受けたユーザーと連絡を取ってリークの信頼性を検証できる連絡先の詳細を見つけました。残念ながら、電話とメールアドレスに加えて、バケットにはさらに多くの情報が含まれていました。
TechCrunchの記者は、契約書や許可書から秘密保持契約書、共有パスワードのリストに至るまで、明らかに公開されるはずのないものを見つけました。すでに述べたように、RallyhoodのCTOはTechCrunchに暴露が長続きしないことを伝えることで、何らかのダメージ制限を試みましたが、「ブリーフ期間」がどれほど「ブリーフ」であるかを言わないことを好みました。確かにわかっているのは、リークされたデータベース内のファイルの一部に2011年のタイムスタンプがあったことです。残念ながら、不適切に構成されたデータベースにはほぼ10年分のプライベートファイルがあったという事実にもかかわらず、Rallyhoodは、影響を受ける可能性のある個人に通知する計画があるかどうかをTechCrunchに伝えることを拒否しました。
全体として、これまでのところ、Rallyhoodは間違いなくかなり重大なデータリークの処理において、透明性の明確な欠如を実証しています。会社は明らかに間違いを犯しましたが、それはほとんど良いことではありませんが、本当に悪い印象は、あたかも責任を受け入れる気がないかのように振る舞うという事実から来ています。