アマゾンが顧客のメールアドレスなどを漏らした社員を解雇

Amazon(アマゾン)は、顧客のメールアドレスと電話番号をサードパーティと共有した数名の社員を「弊社のポリシーに違反した」として解雇した。

2020年1月10日に顧客に送られたメールによると、社員はデータを共有したため解雇され、同社は司法による彼らの訴追に協力しているという。

アマゾンはこの事件を、TechCrunch宛のメールで確認した。スポークスパーソンによると、数名の社員が解雇されたという。しかしながら、該当社員らに関する情報は何も得られず、また、情報がいつ誰と共有され、何名の顧客が被害に遭ったのかも不明だ。

顧客に送られたメールには、「お客様のアカウントに関連するその他の情報は共有されていません。これは、お客様が何かをされたことの結果ではありません。また、お客様が、何か対応をする必要もありません」と書かれている。

Amazonの顧客宛のメールには、社員は解雇されたと書かれてある。複数の社員が解雇された、とAmazonは言っている。

これは、初めて起こったことではない。Amazonは2019年に起きた同様のメールアドレス侵害についての明言も、コメントも避けている。

Amazonによると、また別の件で同社は今週、スマートカメラとドアベルの子会社Ringの社員4名を解雇した。Ringによると、解雇した社員らは、顧客のカメラにある映像を視るという不正を犯した。

アップデート: 記事のタイトルにおける社員(employee)を単数形から複数形に変更した。

関連記事: Amazon admits it exposed customer email addresses, but refuses to give details…Amazonが顧客のメールアドレスの露出を認める(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

enterprise-security

KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。

Cで書かれたその短いコードは、IPカメラなどインターネットに接続されたデバイスの上で実行される。rootのパスワードを試行によって探り当て、デバイスに侵入、事前に決めてあったターゲットにトラフィックを送る。試行するパスワードが書かれているコードは、このファイルにある。

screen-shot-2016-10-10-at-10-46-27-am

ハッカーはこのボットネットを使って、620GbpsのDDoSをKrebsOnSecurityへ送った。そこはBrian Krebsのセキュリティに関するブログとして、かねてから人気のサイトだ。そのボットネットは強力ではあるものの、当のIoTデバイスをリブートすれば止まる。また、デバイス側のシステムアップデートにより、被害機は徐々に減っているようだ。コードをHackforumsにポストしたハッカーのAnna-senpaiはこう述べている、“Miraiでは、telnetからだけで最大380k(38万)のボットを取り出していた。でもKrebsをDDoSしてからは、徐々にISPたちがそれらを掃除するようになった。今では最大は300k程度で、しかも減りつつある”。

Krebsはハッカーたちの逮捕を求めており、今回のコード公開は利他的動機によるものではない、と見ている。

彼曰く: “Anna-senpaiがMiraiのソースコードを公開した理由はよく分からないが、利他的な行為ではありえないだろう。悪質なソフトを開発している連中は、警察や警備会社などに居場所を突き止められそうになったら、ソースコードをばらまいて煙幕を張る。公開して誰でもダウンロードできるようにすると、コードの持ち主が即犯人、とは言えなくなるからね”。

そのコードは今Githubにあり、どうやら本物のようだ。ぼくはコンパイルしていないが、ファイルにはおもしろい情報がいろいろある。教材としての利用価値は、十分にあるだろう。もちろん、悪い連中にとっても、利用価値は十分あるけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))