B
今週中
米国のナイトクラブ運営大手RCI Hospitality Holdingsが、IDOR(不適切な直接オブジェクト参照)の脆弱性を悪用したデータ漏洩に見舞われまし…
📌 一言でいうと
米国のナイトクラブ運営大手RCI Hospitality Holdingsが、IDOR(不適切な直接オブジェクト参照)の脆弱性を悪用したデータ漏洩に見舞われました。この影響で、独立請負業者ら約40,000人分の氏名、連絡先、生年月日、社会保障番号(SSN)、運転免許証番号などの個人情報が流出したとしています。同社は当局に報告し、FBIに通知済みであるとしています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- RCI Hospitality社が運営するナイトクラブ、スポーツバー、ダンスクラブを利用している
- RCI Hospitality社と業務委託契約を結んでいる独立請負業者である
- 自社でIIS(Windows Server)を用いてWebサーバーを構築・運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Webアプリケーションの開発において、ユーザー入力によるリソース指定を適切に検証し、権限のないユーザーが他者のデータにアクセスできないようアクセス制御を徹底すること。