先週、セキュリティコンサルタントのボブ・ディアチェンコ氏は、Etsy が所有する音楽マーケットプレイス Reverb が運営する安全でないデータベースを発見した。
電話番号、電子メール、住所、さらには注文情報などのユーザーデータを含む、公開されたデータベースはそれ自体危険であったが、ディアチェンコ氏は影響を受けた顧客の数を算出した。彼の計算によると、その数は560万人で、オンライン電子商取引の顧客にとっては悲しいことに普通の経験となっている極めて大規模な侵害であった。
「当初、誰が所有し、どのような種類のデータなのかがすぐには分からなかったので、棚上げにしていました。しかし、発見後、データベースのIPアドレスは削除されました」とディアチェンコ氏はLinkedInの投稿で述べています。「詳しく調べてみると、@reverb.comドメインから多くの『テスト』メールが送信されていることに気付きました。そこで、ショップスラッグとReverbサイトの実際のURLを照合してみることにしました。すると、すぐに最初の考えが正しいことが分かりました。すべてReverbユーザーのデータだったのです。」
このサーバーは保護されていないElasticsearchインスタンスでした。これはオープンソースデータベースの一種で、超高速検索エンジンとして機能します。多くのオンライン小売業者やソーシャルメディアサイトで使用されているこのツールは、様々なデータの迅速な検索を可能にし、今回のケースでは顧客データへの即時アクセスも可能にしています。このサービスは本来ロックダウンされるべきですが、ディアチェンコ氏は検索エンジンが誰でもアクセスできる状態になっている複数の事例を発見しました。
Diachenko 氏はデータをチェックし、興味深い Reverb の顧客が含まれていることを発見しました。
「自分の考えを確認するために簡単に調べたところ、ブラック・サバスのビル・ワード、スマッシング・パンプキンズのジミー・チェンバレン、ナイン・インチ・ネイルズのアレッサンドロ・コルティーニなど、何人かの著名な売り手の詳細を見つけることができた」と彼は書いている。
一方、Reverb は顧客に侵害を通知するメールを送信しました。
Reverbは、クラフトマーケットプレイスのEtsyが2019年に買収した音楽機材マーケットプレイスです。Etsyは、「マーケットプレイスの専門知識を活用して、Reverbのさらなる規模拡大と成長を支援する」計画だと主張しました。
私たちは違反について明確にするためにReverbに連絡を取った。
