サンフランシスコに拠点を置く自動車保険スタートアップのMetromileが、侵入者が運転免許証番号を取得できるウェブサイトのセキュリティの欠陥を修正したと報告した。
同社は米国証券取引委員会に提出した最新の8-K報告書でセキュリティの侵害について明らかにした。
Metromileによれば、同社ウェブサイト上の見積フォームと申し込みプロセスのバグにより、侵入者が「個人の運転免許証番号を含む特定の個人の情報を取得」できたという。実際にどのような状態で侵入者はフォームから運転免許証番号を取得できたのか、何人の運転免許証番号が取得されたかは明らかにされていない。
報告内容には以下のように記載されている。「Metromileは、即座にソフトウェアを修正するなどこの問題を封じ込め回復する手段を取り、保険会社に通知し、営業は継続しています。Metromileはセキュリティ専門家や弁護士と全面的に連携して、問題がどのように発生したかを突き止め、追加で必要な封じ込めと回復の措置を特定し、必要に応じて影響を受ける個人、法執行機関、監督機関に報告します」。
Metromile広報のRick Chen(リック・チェン)氏は、同社はこれまでに運転免許証番号にアクセスがあったことは確認したが「引き続き調査中」だと述べた。
Metromileは自社ウェブサイトやソーシャルのチャンネルではこの問題について公表していない。チェン氏は、問題の影響を受ける個人に通知する予定だと述べた。
Uberの元幹部であるRyan Graves(ライアン・グレイブス)氏から5000万ドル(約52億6000万円)の投資を受け、同氏がMetromileの経営陣に加わることを認めたタイミングで、この問題が明らかになった。MetromileはSPAC(特別目的買収会社)を通じて13億ドル(約1367億6000万円)で株式公開する計画であると、2020年11月に発表したばかりだった。
関連記事
・SPAC(特別目的買収会社)について知っておくべきほぼすべてのこと
・走行距離で課金する自動車保険のMetromileがSPACを通じて公開市場へ
カテゴリー:セキュリティ
タグ:Metromile、SPAC、バグ
画像クレジット:Smith Collection/Gado / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Kaori Koyama)