ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた

自動車メーカー「ホンダ」のインド法人Honda Cars Indiaでは、自動車と連動するアプリHonda Connectを提供しています。「このアプリに登録しているユーザーの個人情報5万人分以上がクラウドサービス上で公開されていた」ということをIT企業のKromtechのセキュリティ部門「Kromtech Security Center」が2018年5月30日に発表しました。

Honda leaked personal information from its Honda Connect App
https://kromtech.com/blog/security-center/honda-leaked-personal-information-from-its-honda-connect-app

Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server
https://www.bleepingcomputer.com/news/security/honda-india-left-details-of-50-000-customers-exposed-on-an-aws-s3-server/

Honda Connectは、Honda Cars Indiaが提供しているスマートフォン・モバイル端末向けのアプリ。アプリとホンダ車が連携することで、アプリを通して自分の自動車の情報を把握することが可能。ユーザーが所有しているホンダ車の燃料の残量やエンジンの温度の確認、メンテナンス状態の警告発信、運転情報の記録、車両位置情報のメール送付、事故発生時におけるホンダのコールセンターへのシグナル発信、マップアプリと連動したナビゲーションといった機能が使えるようになります。

Honda Connect

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクトリ「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

もし、これらの情報が漏洩して悪意のある攻撃者に渡った場合、データベース内に記載されているすべてのスマートフォンにアクセスできる可能性があります。さらに、漏えいしたスマートフォン情報と自動車がペア設定されている場合は、ユーザーの多くの行動が追跡されます。攻撃者は、ユーザーが自動車の運転をどこで開始・停止したかを把握できるので、自動車の使用履歴から、自動車の所有車の住居・仕事・買い物・遊ぶ場所など、ユーザーの日々の活動を知ることができます。

これらの個人情報が漏えいした場合、悪意のある攻撃者は、漏えいした連絡先のユーザーになりすまして、詐欺メールやデバイスのアクセス権を奪うマルウェアのメールなどを送信する危険がないとも限りません。

Kromtechの専門家がこのデータベースを閲覧する前に、他の閲覧者が少なくとも1人はいたことがわかっています。なぜなら、Kromtechの専門家がこの公開データベースを発見した時にはすでに、セキュリティ研究者の Random Robbie(@Random_Robbie )氏が残した「poc.txt」という2018年2月28日のタイムスタンプがあるファイルが含まれていたからです。つまり、Honda Car Indiaはこのデータベースが含まれたバケットに対して監視が甘く、バケットにこのファイルが残されたことに気付けなかったというわけです。

Kromtechの専門家は、公開されているデータベースの状態についてHonda Cars Indiaに通知したとのこと。KromtechのDiachenko氏は「Honda Cars Indiaがデータベースを保護したのは通知から約2週間後だった」とBleeping Computerにコメントしました。