2023年1件目は電子カルテ・予約情報の漏洩
ウェブサービスの個人情報漏えいは不正アクセスが原因と思う方が多いですが、自分で漏洩するパターンも報告されないだけでかなりあると思います。
2023年の個人情報漏えい1件目は企業なら一度は使ったことがある、または利用を検討したことのある企業が医療機関向けに提供している電子カルテサービスで、名古屋在住の同姓同名(検索したら漢字は異なる)の生年月日や顔写真(ネット上で本人特定できました)など偽IDを作るには十分の情報が漏れた件です。
大手クリニックでAGA治療をされていた方なので、完治されるのを願っております。
これは個人がメールアドレス入力を間違えた結果、似ているアドレスに予約確認URLが送信されてしまい、そこを第三者がパスワード不要で閲覧できる状態がもたらした漏洩でした。
当時開発元には注意喚起し、Twitterでも経営陣2名のアカウントがありましたのでDMもしました。その後Twitterでは2名ともお礼もありませんでしたが・・・。
パスワードレスで電子カルテの予約情報見れるなんてセキュリティ専門家じゃなくても危ないと思います。対策をアドバイスしましたがその後どう対策されたかについて同社から詳細な報告はありませんでした。
二段階認証のない医療機関ウェブサービスは利用しないことをおすすめします。
2023年2件目は民泊で誰もが知るAirbnbの漏洩
さて2023年2件目はAirbnbのユーザー(以後、A)がメールアドレス変更において、私が所有するメールアドレスを誤入力により指定してしまい、このAが予約した日程の確認メール、そしてホストから予約に関して送信されたメール、Airbnbサポートからのメールが8月から1ヶ月ほど届き続けました。
AirbnbのサポートからAに対してメールアドレス変更してもらうように伝えましたが、12月になった今でも私のメールアドレスが紐づけられているので仮に私が新規登録したくでもこのメールアドレスは使用できません。
Airbnbも強制的に会員が登録したメールアドレスを無効化し、再登録を促す仕組みを作れば良いと思うのですがあまりそこに対しては熱心ではなさそうです。
こちらのAさん、Airbnbログイン画面で本人画像を確認できるのでユーザー名を調べたところFacebookが見つかりました。ニューヨーク在住の中華系です。
息子はボストン大学を出てアクセンチュアのテクノロジー戦略コンサルタントとして勤務しています。Aさん自身は写真を1枚しか公開していませんが息子がネットリテラシー低いのか全体公開なので、Aさんを含む家族で食事している写真などを確認できました。
(テクノロジー戦略担当なのにプライベート丸見えやん・・・)
試しにLinkedInで調べてみましたがAのアカウントはありませんでしたが、息子は3rdコネクションで割りと近い存在でした。世界各国の洞窟などを家族で探検旅行したり、日本への渡航歴もあると記載されています。
中華系で世界を旅行し、ニューヨーク在住で家族旅行も何回も・・・となるとそれなりの家庭です。父親の情報が少ないですが、それなりに裕福でないとこの生活は難しいでしょうね。
家族構成はA、妻、息子二人、娘一人です。
誕生日ケーキを囲んだ写真などもありますので、息子の誕生日特定も投稿日前後から予測できます。
このように情報が流出すると、関連情報から家族構成や家族写真まで特定が容易です。個人情報を預かるウェブサービスは一時的に一人の会員情報が流出しただけだろう・・・と考えてますが、そこからいくらでも漏れるのです。
まあ最初にAがメールアドレスを間違えたのがそもそもの問題ですが、ユーザー側が間違えても情報漏洩を防ぐ仕組みというのはウェブサービス運営元の責任なので漏れない仕組み、漏れてもさらに漏れない仕組みを意識してほしいです。