アンドレイ・ルダコフ/ブルームバーグ、ゲッティイメージズ経由
割れたパイントグラスよりも漏洩しやすいことが判明したWi-Fiプロバイダーのせいで、ビール愛飲家数千人の個人情報が露出した。
ブリューハウス&キッチンは、英国全土に23店舗を展開する小規模なパブチェーンです。ロンドン、ノッティンガム、チェスター、カーディフ、ブリストルにも店舗があります。
無料Wi-Fiにアクセスしようとする利用者は、氏名、メールアドレス、生年月日、電話番号などの個人情報の提供を求められました。独立系セキュリティ研究者のオリバー・ハフ氏は、ブリューハウスのWi-Fiプロバイダーであるフォーカス・グループがホストするオープンディレクトリで、1万7000件以上の個人情報を含むスプレッドシートファイルを偶然発見しました。
「潜在的なデータ漏洩を探すのはちょっとした趣味のようなもので、当時はオープンディレクトリを探していました」と彼は語る。オープンディレクトリを見つけるのは「サーバーがShodan検索エンジンにインデックスされていたので、かなり簡単でした」。Shodanはインターネット接続デバイス用の検索エンジンで、オンラインにあってはならないものを探す研究者にとって便利なものだ。
Brewhouseのデータベースには、ユーザーがどのパブにいつログインしたか、そして顧客がマーケティングリストへの追加を希望したかどうか(大半の人が希望したと回答)が含まれていました。「電話番号やメールアドレスは詐欺やフィッシングキャンペーンに悪用される可能性があります」とハフ氏は言います。「生年月日やデバイスの種類といったその他の詳細情報は、詐欺の正当性を高めるために利用される可能性があります。」
詐欺師やハッカーがデータをダウンロードしたという証拠は何もありません。単に、技術的な知識を持つ人なら誰でもアクセスできる状態でオンライン上に放置されていただけです。
ハフ氏は11月9日にブリューハウス社に連絡を取りましたが、5日後、ディレクトリはオープンアクセスから削除されました。両社とも、この件を情報コミッショナー事務局(ICO)に報告したと述べています。
「フォーカス・グループは2018年11月14日にブリューハウス&キッチンのデータ漏洩の可能性を認識しました。その後、当社はGDPRポリシーに従い、ICOに通知する手続きを進めています」とフォーカス・グループのディレクター、ヴィッキー・リシュベス氏は電子メールでの声明で述べた。
ブリューハウス&キッチンは声明で、フォーカス・グループと協力し、情報漏洩の原因を特定し、漏洩を阻止したと述べた。声明には、「当社は顧客の個人データの管理を最優先事項と捉えており、今回のインシデントを受けて、契約しているサービスプロバイダーが全拠点のシステムとインフラを厳格に見直し、同様の事態が再発しないよう徹底しています」と付け加えている。
続きを読む: 仕事を辞めて自分の地ビール醸造所を始めるというアイデア
パブチェーンは、ICOの報告によると、漏洩した記録は削除済みであり、影響を受けた人々に連絡を取ろうとしていると述べた。同社は「グループとして、この問題を非常に深刻に受け止めており、サービスを提供する地域社会の個人データを管理することに伴う責任を理解しています」と述べた。「ブリューハウス&キッチンは、お客様のプライバシーと個人データがいかなる犠牲を払ってでも保護されることを保証し、影響を受けた可能性があると思われる方と連絡を取りたいと考えています」
データ漏洩は起こり得る。だからこそ、Wi-Fiへのアクセスを許可するためだけにこれほど多くの情報を収集すべきではない、とイースト・アングリア大学のIT法講師、ポール・バーナル氏は言う。「データ最小化ルールは、必要最小限の情報だけを収集することを意味するはずです。今回のケースでは、全く収集されない可能性もあるでしょう!」とバーナル氏は言う。「私の知る限り、現時点ではこうしたデータを収集する一般的な義務はありません。」
Wi-Fi事業者は捜査権限法に基づきユーザーデータの収集を求められる可能性があるが、そのためには具体的な要請が必要だと彼は付け加えた。「今回のケースでは、要請がなかったと推測しますが、それは極めて異例です」と彼は述べた。「人々がデータを収集するのは、収集すべきだと誤って考えたり、そこから何らかの価値を得られると何らかの考えを持っていたりするからです。そして、その時点でデータ保護が適用されるのです。」
Brewhouseの顧客の中には明らかにプライバシーに敏感な人もいるため、一部のデータはBrewhouseにとってあまり役に立たない可能性がある。Brewhouseの常連客の一人は「GDPR GDPR」と氏名を入力したが、データ責任を改めて意識させるため、糞便に関する語彙を使って情報を登録する人もいた。子供じみているように聞こえるかもしれないが、彼らはShodanサーフィンをする詐欺師に個人情報を盗まれることなく、Wi-Fiアクセスを確保できたのだ。
だからこそ、そもそもそのようなデータは収集すべきではない。「絶対に必要な場合を除いて、データを収集すべきではありません。そして、今回のケースは明らかに必要ではありません」とベルナル氏は言う。「考え方そのものを変える必要があります。将来、金儲けができるかもしれないというわずかな可能性にとらわれて、詐欺師の生活を楽にするようなことはすべきではありません。」
パブで Wi-Fi にログインしたい場合は、名前に「Free Beer」と入力してみてください。ビールはもらえませんが、少なくとも詐欺師にデータを盗まれることはありません。
この記事はWIRED UKで最初に公開されました。
