MSI、ユーザーの個人情報を公開状態に設定。60万件以上が誰でも閲覧できる状態に
MSIのWebサイトに重大な脆弱性が見つかりました。ユーザーの個人情報へと誰でもアクセスできる状態になっていました。
DuckDuckGoで『MSI RMA Webserver』と検索すると、『MSI RMA Search』というページがヒットします。
MSI RMA Search
このページはMSIのRMA情報のデータベースで、過去にMSIにRMAを行ったユーザーや取引先企業のメールアドレス、住所、電話番号、購入した製品名などが記されています。本来であれば外部からのアクセスは遮断するか、パスワードで保護すべきページです。しかし、このページを閲覧するのにハッキングしたりやパスワードを入力したりする必要はなく、誰でもアクセスできる状態になっていました。
この脆弱性について報じたGamers Nexusによると、60万件以上のデータが公開状態になっていたとのこと。Gamers NexusはMSIに連絡を取り、MSIは当該ページへとアクセスできないよう対処しました。2024年7月14日時点ではすでにこのページへはアクセスできません。
いったいなぜ公開状態に設定していたのかや、本件に関する詳細など、現時点でMSIから正式なアナウンスはありません。