連邦取引委員会は、数千人のアメリカ人の個人情報を含む数百万件の機密住宅ローン文書が漏洩した2019年のセキュリティ不備について、住宅ローンデータ分析会社との和解を承認した。
12月下旬に発表された和解案は、テキサス州に拠点を置くAscensionに対し、セキュリティ対策の強化と、ベンダー各社にも適切なデータセキュリティ対策の維持を徹底するよう命じるものです。この命令は、TechCrunchの調査で、Ascensionの子会社であるニューヨークに拠点を置くベンダーOpticsMLが、機密性の高い金融データのデータベースをパスワードなしでインターネット上に公開していたことが判明してから2年後に発せられました。和解案では、金銭的な罰則は課されませんでした。
FTCは、アセンション社が、グラム・リーチ・ブライリー法の保護規則で義務付けられているデータセキュリティ保護策をベンダーが遵守していることを確保できなかったと非難した。
セキュリティ上の不備により漏洩した2,400万件の記録の多くには、氏名、生年月日、社会保障番号など、個人の財務状況に関する詳細な情報を含む機密性の高い個人情報が含まれていました。TechCrunchは、銀行口座情報やローン契約書の漏洩も発見しました。カリフォルニア州司法長官事務所に提出されたデータ漏洩通知書によると、信用情報や運転免許証番号も漏洩していたことが明らかになりました。
FTCによれば、この不備により6万人以上のアメリカ人が影響を受けたという。
OpticsMLは、Ascension社から文書をコンピュータで読み取り可能なテキストに変換する(OCR)業務を委託されていました。元の文書と変換後のテキストは、IPアドレスさえ知っていれば誰でもアクセス可能でした。FTCは、データベースが約1年間にわたって無防備状態にあり、その間に50回以上アクセスされていたことを突き止めました。アクセスされたコンピュータは主にロシアと中国にあるとみられます。
この命令は、FTCの残り4人の委員のうち2人の過半数の賛成を得て確定した。FTCのリナ・カーン委員長は、苦情申し立て当時FTCにいなかったため、この命令には参加しなかったと、FTCの広報担当者はTechCrunchに語った。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
FTCのレベッカ・ケリー・スローター委員は、最終的な和解案に反対票を投じ、訴状は「規則違反のみを主張している」と主張し、同社に対する訴状提出を怠ったことで不十分だと主張した。消費者金融保護局長に就任する前、当時のFTC委員ロヒット・チョプラ氏も、FTCが親会社であるロックトップ・パートナーズではなくアセンション社と和解したことを批判し、和解案は「責任ある企業を特定するという点において的外れ」だと指摘した。
Ascension社とOpticsML社の広報担当者はコメント要請にすぐには応じなかった。
数百万件の銀行融資および住宅ローンの文書がオンラインで流出
トピック
アセンション、カリフォルニア、中国、データ漏洩、ドライバー、連邦取引委員会、リナ・カーン、ニューヨーク、 OCR 、ロヒット・チョプラ、セキュリティ、セキュリティ、テキサス
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
