Exactisのサーバーでは、3億4000万件以上の個人データが誰でもアクセス可能な状態で放置されていた。セキュリティ専門家のVinny Troiaは「Shodan」と呼ばれるツールを用いて、この事実を発見した。
Exactisは同社のウェブサイトによると、「35億件にのぼるデータの貯蔵庫を持つ、世界最大規模のマーケティング企業で、企業や個人の情報のアグリゲーションビジネスを行なっている」という。Troiaによると、放置されていた個人情報は氏名や電話番号のみにとどまらず、性別や子供の有無、ペット、喫煙か非喫煙かといった多岐に渡る内容が含まれていた。さらに、宗教や趣味など非常にディープな個人情報が記されたものもあったという。
クレジットカード情報や収入に関する記述はなかったというが、これは非常に重大な個人情報漏洩事件だ。このデータがサイバー犯罪者の手に渡れば、非常に巧妙なフィッシング詐欺に用いられる可能性もある。Troiaによると、特定のファイルに2億3000万人分の個人情報が格納されており、それとは別に1億1000万社の企業情報も見つかったという。
Troiaによると、データは誰でも閲覧可能な状態で放置されていたという。「WIRED」のAndy Greenbergの取材に対し、Troiaは「米国民の大半のデータが含まれていても不思議ではない」と述べている。
事態が何よりも深刻なのは、Troiaが発見する以前にこのサーバーの存在を知っていた人物がいた可能性だ。その場合、膨大な個人データが悪意ある人物に収集されてしまった可能性は非常に高い。
筆者は既にExactisに対しコメントを求めるメールを送信した。反応があり次第、ここにその内容を追記したい。
