CyberNewsは10月27日(米国時間)、「Thomson Reuters leaked at least 3TB of sensitive data|Cybernews」において、Thomson Reutersが少なくとも3TBの機密データを流出させたと伝えた。多国籍メディア複合企業であるThomson Reutersが、サードパーティ製サーバのパスワードを含む顧客および企業の機密情報を平文でオープンデータベースに残していたことが明らかとなった。
Thomson Reutersのデータベースが誰でも閲覧できるようになっていたことが、CyberNewsの調査チームによってわかった。発見されたオープンインスタンスの1つである3TBのパブリック向けElasticSearchデータベースには、Thomson Reutersのプラットフォーム全体から集められた機密性の高い最新情報が格納されていたという。この問題は認識されるとともにすぐに修正が行われ、Thomson Reutersの顧客に通知が開始されたと報告されている。
漏洩データのサンプルには、サードパーティサーバへのアクセス認証情報が含まれていたという。オープンインスタンスにログインログおよびパスワードリセットログが含まれていたことも判明している。これらのログ内にパスワード情報は記載されていなかったが、アカウント所有者のメールアドレスが記載されていたことが確認されている。
さらに、Thomson Reutersの顧客がどのような情報を探していたかを示すSQLログ、特定の企業や個人に関する企業情報や法的情報が記載された文書なども含まれていたことがわかった。
企業の電子メールなど個人を特定できる個人識別情報(PII: Personally Identifiable Information)を問い合わせやその他のやり取りと同じデータセットに記録しないことが強く推奨されている。CyberNewsは、パスワードを平文で保存することも避けるべきだと助言している。たとえデータベースが公開されていなくても公開される危険はあるとしており、クレデンシャル盗難や権限昇格攻撃により悪意のある人物が企業のデータベースに侵入し、プレーンテキスト形式のパスワードが窃取される可能性があると警告している。
