米企業、パスワード無しのサーバーで数百万の個人情報管理し漏洩

taraiok曰く、　フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという（The Tribune、TechCrunch、Hacken.io、Slashdot）。

　漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

　10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

　直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

　スラドのコメントを読む | ITセクション | セキュリティ | インターネット | 情報漏洩

　関連ストーリー：
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 2016年12月17日
ポルノ動画サイト「xHamster」からメールアドレス等のユーザー情報38万件が流出？ 2016年12月01日
サイバー攻撃の85％は良く知られた脆弱性を悪用 2016年07月12日