セキュリティ研究者であるEhraz Ahmed氏は12月7日(米国時間)、「Security Flaw in Airtel - Ehraz Ahmed」において、インドの電気通信事業者であるBharti Airteの提供するAPIにバグが存在しており、ユーザーの個人情報が取得可能な状態にあったことを明らかにした。
すでに問題は修正されているが、問題が修正されるまで3億2,550万ユーザーの個人情報がデータ漏洩のリスクにさらされていたことになる。
データ漏洩の対象となっていたデータは氏名、性別、メールアドレス、生年月日、住所、サブスクリプション情報、デバイスの通信機能情報、ネットワーク情報、アクティベーション日時、支払いタイプ、IMEI番号など。
Bharti Airtelはインドのデリに本拠地を置く電気通信事業者。主な市場はインドだが、南アジアやアフリカ、チャンネル諸島などでも事業を展開している。インドにおける利用者は3億2,550万ユーザーでシェア第3位、世界全体で見るとユーザでー数4億1,142万でシェア第2位の規模のモバイルネットワークオペレータとされている。
今回脆弱性が発見されたのはテスト用のAPIとされており、Bharti Airtelは脆弱性を認識するとすぐに修正を施したと説明している。
