米Capital Oneの大量個人情報漏洩事件、原因はアプリケーションファイアウォールの設定ミス
タレコミ by hylom
hylom 曰く、
先日、米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束されるという事件があったが、この情報漏洩の原因はCapital Oneが独自に構築していたWebアプリケーションファイアウォール(WAF)の設定ミスだったことが明らかになった(piyolog、Krebs on Security)。
詳細は公開されていないようだが、設定ミスを悪用して同社がAWS上で運用しているインスタンスのメタデータを取得することができたという。具体的には、本来外部からはアクセス出来ないサーバーに対しWAFを経由することでアクセスできるようになっていたようだ。
米Capital Oneの大量個人情報漏洩事件、原因はアプリケーションファイアウォールの設定ミス More ログイン