【IT】ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた

1 ：ノチラ ★：2018/06/10(日) 18:20:17.92 ID:CAP_USER.net

自動車メーカー「ホンダ」のインド法人Honda Cars Indiaでは、自動車と連動するアプリHonda Connectを提供しています。「このアプリに登録しているユーザーの個人情報5万人分以上がクラウドサービス上で公開されていた」ということをIT企業のKromtechのセキュリティ部門「Kromtech Security Center」が2018年5月30日に発表しました。

Honda Connectは、Honda Cars Indiaが提供しているスマートフォン・モバイル端末向けのアプリ。アプリとホンダ車が連携することで、アプリを通して自分の自動車の情報を把握することが可能。ユーザーが所有しているホンダ車の燃料の残量やエンジンの温度の確認、メンテナンス状態の警告発信、運転情報の記録、車両位置情報のメール送付、事故発生時におけるホンダのコールセンターへのシグナル発信、マップアプリと連動したナビゲーションといった機能が使えるようになります。

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクトリ「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

もし、これらの情報が漏洩して悪意のある攻撃者に渡った場合、データベース内に記載されているすべてのスマートフォンにアクセスできる可能性があります。さらに、漏えいしたスマートフォン情報と自動車がペア設定されている場合は、ユーザーの多くの行動が追跡されます。攻撃者は、ユーザーが自動車の運転をどこで開始・停止したかを把握できるので、自動車の使用履歴から、自動車の所有車の住居・仕事・買い物・遊ぶ場所など、ユーザーの日々の活動を知ることができます。

これらの個人情報が漏えいした場合、悪意のある攻撃者は、漏えいした連絡先のユーザーになりすまして、詐欺メールやデバイスのアクセス権を奪うマルウェアのメールなどを送信する危険がないとも限りません。

Kromtechの専門家がこのデータベースを閲覧する前に、他の閲覧者が少なくとも1人はいたことがわかっています。なぜなら、Kromtechの専門家がこの公開データベースを発見した時にはすでに、セキュリティ研究者の Random Robbie(@Random_Robbie )氏が残した「poc.txt」という2018年2月28日のタイムスタンプがあるファイルが含まれていたからです。つまり、Honda Car Indiaはこのデータベースが含まれたバケットに対して監視が甘く、バケットにこのファイルが残されたことに気付けなかったというわけです。

Kromtechの専門家は、公開されているデータベースの状態についてHonda Cars Indiaに通知したとのこと。KromtechのDiachenko氏は「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」とBleeping Computerにコメントしました。
https://gigazine.net/news/20180609-honda-app-leaked-personal-information/

2 ：名刺は切らしておりまして：2018/06/10(日) 18:32:03.74 ID:5or84kDp.net

漏洩者に莫大な罰金刑を設定すべきだな

3 ：名刺は切らしておりまして：2018/06/10(日) 18:43:56.44 ID:6UqjnnEL.net

老害経営陣はマジでセキュリティに金をケチるからな
自民党はさっさとIT音痴の老害を引退させろよ

4 ：名刺は切らしておりまして：2018/06/10(日) 18:47:39.33 ID:+gjr4vHG.net

インド人嘘つかない

5 ：名刺は切らしておりまして：2018/06/10(日) 18:52:13.50 ID:m1/kt4C7.net

巨額集団訴訟来るね

6 ：名刺は切らしておりまして：2018/06/10(日) 18:54:07.38 ID:VFS1oysO.net

人類にはITは早すぎた、あるいは個人情報保護なんて概念が早すぎた

7 ：名刺は切らしておりまして：2018/06/10(日) 18:54:46.35 ID:VFS1oysO.net

むしろオープンにして売ってたんとちゃうんけ？

8 ：名刺は切らしておりまして：2018/06/10(日) 18:58:28.34 ID:f28I1Kqp.net

誘拐ビジネス大笑い案件

9 ：名刺は切らしておりまして：2018/06/10(日) 19:07:55.38 ID:NK2pSHCU.net

あーあｗやっちまったなｗ
制裁くらう口実を与えちゃったわｗ

ここで恒例、米司法省の日本企業への罰金がいくらになるかカケようぜｗ

オレは800億円くらいじゃないかと思うｗ

10 ：名刺は切らしておりまして：2018/06/10(日) 19:09:57.26 ID:k05BLch9.net

Jの国の法則発動

11 ：名刺は切らしておりまして：2018/06/10(日) 19:12:25.29 ID:k/FeXsQM.net

「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」

インドの2週間は日本の２時間。

12 ：名刺は切らしておりまして：2018/06/10(日) 19:17:30.21 ID:NK2pSHCU.net

米司法省の役人ってスゲー楽しそうｗ

各国に米国法に違反してると難癖つけては8500億円、1500億円、1200億円と
支払わせるんだからなｗ　そして各国は逆らえないｗ

これほど面白い仕事は、ちょっと他に無いだろうｗ

13 ：名刺は切らしておりまして：2018/06/10(日) 19:20:31.42 ID:8jDVqWNu.net

とても初歩的なミスだね。
笑えないレベル。
AWSでデータ管理しているのだから、
データ管理の責任はアマゾンに丸投げできるのに
利用者側が公開に設定しているなんて、お粗末すぎ。

14 ：名刺は切らしておりまして：2018/06/10(日) 19:20:53.62 ID:szYNhWuA.net

パワポエンジニアリングで検索！

15 ：名刺は切らしておりまして：2018/06/10(日) 19:24:16.66 ID:uAnJ7xgY.net

Power of Dreams

16 ：名刺は切らしておりまして：2018/06/10(日) 19:28:24.77 ID:fLesziTL.net

HONDA

17 ：名刺は切らしておりまして：2018/06/10(日) 19:36:37.61 ID:Gm18Sa65.net

計画通り

18 ：名刺は切らしておりまして：2018/06/10(日) 20:30:36.54 ID:/Zid1jpO.net

>>5
インド人だし一人一万円として５億円だな

19 ：名刺は切らしておりまして：2018/06/10(日) 20:32:58.31 ID:/Zid1jpO.net

インド人って本当にIT優秀なの?

20 ：名刺は切らしておりまして：2018/06/10(日) 20:37:08.93 ID:3w67ULl3.net

超巨大訴訟の始まり

21 ：名刺は切らしておりまして：2018/06/10(日) 20:48:41.09 ID:loZzwwTp.net

>>19
二桁の九九があるよ。

22 ：名刺は切らしておりまして：2018/06/10(日) 20:53:32.02 ID:eeTL/ncz.net

>>9
インドだぞ

23 ：名刺は切らしておりまして：2018/06/10(日) 21:09:02.95 ID:anaBjy+J.net

>>10
Kの国にお帰りﾁｮﾝ

24 ：名刺は切らしておりまして：2018/06/10(日) 21:17:36.25 ID:9J4YHo/r.net

これ、もしEUの個人データが含まれてたらGDPR違反でEUから制裁金を課せられるんじゃない？
最大で連結売上高の4%のリスクね

25 ：名刺は切らしておりまして：2018/06/10(日) 21:29:53.79 ID:YsVBRyMk.net

お詫びは500円な

26 ：名刺は切らしておりまして：2018/06/10(日) 21:49:02.49 ID:eBrppYdU.net

警察、創価学会と在日マフィアによる集団ストーカーの証拠動画・
警察車両ナンバー入り
https://www.youtube.com/watch?v=gTOBN1AkSz0
https://www.youtube.com/watch?v=bbPcpPwO3ug
https://www.youtube.com/watch?v=de1jeSPGGNo

恐ろしくて、お漏らししそう´・ω・｀

27 ：名刺は切らしておりまして：2018/06/10(日) 21:49:10.52 ID:dtlm6wf4.net

我推薦的本田噴氣式飛機アル♪　　ホンダジェットいいね〜ニダ♪
*　 ∧__∧　　　　　　　　 　∧__∧　　　　　　
（　｀ハ´　)　　　 n　　　 <丶｀∀´>　 n　　　　
／.⌒｀γ´⌒`ヽ( Ｅ)　／.⌒｀γ´⌒`ヽ( Ｅ)　　　　
　( ｡　人 ｡ 人 .γ ﾉ　　( ｡　人 ｡ 人 .γ ﾉ　　　　　
　i (こ/こ/'　　｀^´　　i (こ/こ/'　　｀^

＊アジアミリタリーサイト
http://moemoemoeone.web.fc2.com/index.html

*中国ハッカー米海軍に侵入　盗まれた謎のシードラゴン情報とは?

*爆撃機に対艦ミサイル 中国要塞島の暴走が止まらない!

*飢えた熊】財政難ロシア　中国に空母援助を求めるか

28 ：名刺は切らしておりまして：2018/06/10(日) 22:31:32.88 ID:iXkVFYqR.net

こいつE.Hondaやな

29 ：名刺は切らしておりまして：2018/06/10(日) 23:53:25.48 ID:Q8JcSOHA.net

2週間が本当ならその間に何をしていたのだろうか？会議か？

30 ：名刺は切らしておりまして：2018/06/11(月) 00:29:22.50 ID:BA7EM7vJ.net

これからはインドだの、やれオフショアだのw