以下の文章は、電子フロンティア財団の「The Breachies 2024: The Worst, Weirdest, Most Impactful Data Breaches of the Year」という記事を翻訳したものである。
毎年のように、我々のもとには「あなたの個人データがアクセスされました」「データが共有されました」「情報が盗まれました」といったデータ漏えいを報告するメールが山のように届く。報告されたところで、我々にできることはほとんどない。自分の電話番号、メールアドレス、住所、クレジットカード番号、社会保障番号が、インターネット上のどこかに存在していると考えておいた方がよいだろう。
とはいえ、中には注目すべき重大な事例もある。我々に関する新たな種類の情報が流出したケース、深刻なセキュリティ上の欠陥が原因だったケース、あるいは規模があまりに巨大すぎて無視できないケースなど。そこで我々は「Breachies」を創設することにした。これは、今年最も悪質だったデータ漏えい事件に、ユーモアを交えながら「賞」を贈るものである。
これらの企業がプライバシーファーストのアプローチを取り、約束したサービスの提供に必要最小限のデータだけを収集・保存していれば、多くの漏えい被害はそれほど深刻にはならなかっただろう。しかし実際には、企業は可能な限り多くのデータをかき集め、できるだけ長く保存し続ける。そしていつの日か、誰かがそのデータに目をつけて盗み出すことになるのだ。
一度個人データが盗まれると、それはなりすまし犯罪やランサムウェア攻撃、執拗なスパム送信などに悪用されるおそれがある。こうした被害は単に「迷惑だ」で済むような話ではないし、研究によれば、不安症やうつ病、PTSDといった心理的な被害を引き起こす可能性もあるという。被害者は、こうした攻撃から身を守るために、信用情報の凍結と解除、信用情報の監視、なりすまし防止サービスの利用に、時間とお金を費やさなければならない。
今年も実に様々な漏えい事件があった。医療の個人情報から、予想通り、クレジットカードや社会保障番号まで、深刻な事例が目白押しだ。
目次:受賞者一覧
- とっととトラッキングを止めろ賞:Kaiser Permanente
- 90年代キッズの黒歴史の危機賞:Hot Topic
- ストーカー御用達賞:mSpy
- 情報を握られていたことすら知らなかったで賞:Evolve Bank
- 警告したで賞:AU10TIX
- パスワードの使い回しはやめま賞:Roku
- セキュリティ研究者は助けようとしてたのに賞:City of Columbus
- Have I Been Pwned?賞:Spoutible
- 報告がムチャクチャ賞:National Public Data
- 過去最大級の医療データ漏えい賞:Change Health
- 「善人」だけがアクセスできるバックドアなど存在しないで賞:Salt Typhoon
- 雪だるま式漏えいオブ・ザ・イヤー賞:Snowflake
- 自分を守るためのヒント
- (不)名誉な言及(特別賞)
とっととトラッキングをやめろ賞:Kaiser Permanente
今年最も防げたはずのデータ漏えいの一つとして、医療大手Kaiser Permanenteの事例がある。同社のウェブサイトとアプリに仕込まれたトラッキングコードにより、1300万人もの患者情報が流出した。このトラッキングコードは、患者の氏名や医療情報といったセンシティブな情報をGoogle、Microsoft、X(旧Twitter)に送信していた。患者がKaiserの健康百科事典で検索した用語や、ウェブサイトやアプリでの行動履歴なども含まれていた。
この漏えいで特に問題なのは、巧妙なハッキングによってではなく、Kaiserが自ら導入した一般的なトラッキング技術によって医療情報が流出したという点だ。Kaiserはその後、問題のコードを削除したものの、同様のトラッキング技術はインターネット全体、そして他の医療機関のウェブサイトにも蔓延している。実際、2024年の調査によると、実に96%もの病院のウェブサイトで、サードパーティと情報を共有するトラッキング技術が使用されているという。
一般に、ウェブサイトがこうしたトラッキング技術を使用する目的は、ターゲット広告の配信だ。しかし、この技術は同時に広告主やデータブローカー、法執行機関に、ユーザのオンライン活動を簡単に追跡できる手段を与えてしまう。
個人でできる対策としては、EFFが開発したPrivacy Badgerのようなツールを使ってオンライントラッキングから身を守ることができる。しかし、プライバシー保護を当たり前のものにするには、法規制が必要だ。EFFは侵襲的なトラッキング技術の主な原動力となっているオンライン行動ターゲティング広告の禁止を提唱している。このままでは、企業は個人データを自発的に共有し続け、そのトラッキングシステムの脆弱性が犯罪者に悪用された後で謝罪する――これが何度も繰り返されることになるだろう。
90年代キッズの黒歴史の危機賞:Hot Topic
90年代に中高生だった元若者なら、Hot Topicが記憶に焼きついているはずだ。ベイビー・ゴスやパンクロッカーたちは、ショッピングモールでオレンジジュリアスのジュースとスバーロのギトギトのピザを平らげた後、Hot Topicに立ち寄って、エッジの効いたTシャツや法外に高いボンデージパンツを物色したものだ(もちろん、誰が一番のニセモノ(poser)で、どのバンドが商業主義に堕ちた(sellout)かを議論しながら)。Hot Topicは我々の世代の個人史に深く刻み込まれているだけに、今回のデータ漏えいにはとりわけ胸を締め付けられる思いがある。
2024年11月、Have I Been Pwnedは、Hot Topicとその子会社Box Lunchから約5700万件のデータ記録が流出したと報告した。「Satanic」を名乗るハッカーが犯行を認め、730GBものデータベースをハッカーフォーラムに投稿し、20,000ドルで売りに出した。約5400万人の顧客に関する流出データには、氏名、メールアドレス、住所、電話番号、購入履歴、生年月日、クレジットカード情報の一部が含まれていたという。Hudson Rockの調査によると、このデータは、Hot Topic社員の業務用パソコンに仕掛けられた情報窃取(infostealer)マルウェアを使って流出したとのことである。「Satanic」は、この感染の元凶は(同じくBreachie賞受賞者の)Snowflakeデータ漏えいだと主張している。ただし、Hot Topicはまだ顧客への通知もしておらず、我々の問い合わせにも回答がないため、「Satanic」の主張は確認できていない。
この規模のデータ漏えいは珍しくないとはいえ、我々のゴス心を深く傷つけるものであり、店舗には我々のデータの管理をもっとしっかりとやっていただきたいものである。さらに悪いことに、Hot Topicは複数のメディア報道があるにもかかわらず、この漏えいを公に認めていない。結局、商業主義に堕ちていたのはHot Topic自身だったのかもしれない。
ストーカー御用達賞:mSpy
ウクライナを拠点とするBrainstack社が提供する市販のストーカーウェアアプリ「mSpy」が、今年初めデータ漏えいの被害に遭った。10年以上にわたるアプリユーザの情報に加えて、Brainstack社従業員の本名とメールアドレスまでもが流出した。
ストーカーウェアの特徴は、ひっそりと動作し、監視されていることに気付かせないようにすることだ。mSpyのようなアプリを使えば、インストールした側は被害者のデバイスの中身をリアルタイムで覗き見ることができる。こうしたツールはストーカーや虐待的な(元)パートナーによって、脅迫や嫌がらせ、危害を加えるために使われることが多い。mSpyのような企業が収集する極めてセンシティブなデータと、それが漏えいした際の被害者への影響を考えれば、この事例は、ストーカーウェアを根絶すべき理由をさらに追加するものと言えるだろう。
情報を握られていたことすら知らなかったで賞:Evolve Bank
正直なところ……Evolve Bankなんて知ってた? 5月にデータ漏えいが報告されたこの銀行――実は事件自体は2月に起きていた――について、「聞いたこともない銀行の漏えいなんて、なぜ気にする必要があるの?」と思うかもしれない。我々も最初はそう思った!
でも、そこが重要なポイントだ。この攻撃は、誰もが知っているAffirm(後払いサービス)、Wise(国際送金サービス)、Mercury Bank(フィンテック企業)といった企業にまで影響が及んでいた。つまり、多くのサービスがこの銀行を利用しており、知らず知らずのうちに我々もその一部を使っていた可能性がある。760万人もの米国人が影響を受け、社会保障番号、口座番号、生年月日といった顧客情報の大部分が盗まれたという。
わずかな救いは? この漏えいで顧客の資金に手が付けられることはなかったことだ。Evolveは漏えい後、ユーザのパスワードリセットやセキュリティ基盤の強化など、基本的な対策を実施したとしている。
警告したで賞:AU10TIX
AU10TIXは、TikTokやXなどが利用する「本人確認」サービスを提供する企業だ。サイトへの登録やコンテンツへのアクセスの前に、ユーザが本人であることを確認するため、運転免許証などのセンシティブな個人文書を収集・確認している。
残念なことに、ソーシャルメディアや成人向けコンテンツにアクセスする前に本人確認や年齢確認を義務づける動きが、政治的に勢いを増している。EFFをはじめとする諸団体は、表現の自由とプライバシーの双方を脅かすこれらの計画に反対している。2023年に我々が指摘したように、確認の義務化は必然的にデータ漏えいを引き起こす。その結果、政府発行の身分証明書だけでなく、ユーザがどのサイトを訪れたかという情報まで流出しかねない。
AU10TIXの漏えい事件は、まさにその懸念が現実となった例だ。404 Mediaの5月の報道によると、AU10TIXは1年以上もの間、ログイン認証情報をネット上に放置し、極めてセンシティブなユーザデータへの自由なアクセスを許していた。
404 Mediaの報道によると、ある研究者は同社のロギングプラットフォームに自由にアクセスでき、そこには「本人確認書類をアップロードした個人に関するデータへのリンク」が含まれていたという。氏名、生年月日、国籍、身分証番号、運転免許証などの提出書類の種類に加え、それら身分証明書の画像データまでもが露出していた。
幸い、AU10TIXの漏えいは研究者が示した可能性以上の被害には至らなかったようだ。とはいえ、AU10TIXをはじめとする企業各社は、ユーザデータの保護をもっと真剣に考える必要がある。さらに重要なのは、政治家たちが本人確認や年齢確認の義務づけによって新たなプライバシーリスクを生み出すことを避けるべきだということだ。
年齢確認が法制化されれば、我々は否応なく、AU10TIXのような企業に大量のセンシティブ情報を預けることになる。これは警告したで賞の第1号だが、おそらく最後ではないだろう。
パスワードの使い回しはやめま賞:Roku
4月、Rokuはさらなる新しい広告表示方法の発表ではなく、データ漏えい(今年2度目)を公表した。「クレデンシャルスタッフィング攻撃」により、57万6000アカウントが危険にさらされたのだ。これは比較的単純な自動攻撃の一種で、過去に別の企業から流出したユーザ名とパスワードの組み合わせを使って、別のサービスのアカウントへの侵入を試みるものだ。例えば、2015年のComcastデータ漏えいで流出したユーザ名とパスワードを、Rokuでも同じように使い回していた場合、攻撃者にアカウントを乗っ取られる可能性があったというわけだ。不正購入が確認されたアカウントは400件未満で、支払い情報への不正アクセスはなかったというのが、せめてもの救いだ。
このような漏えいは簡単に起こってしまうため、オンラインサービスごとに異なるパスワードを使うことが重要だ。パスワードマネージャを使えば――スマートフォンやブラウザに無料で付属しているものでも――この作業ははるかに楽になる。また、クレデンシャルスタッフィング攻撃は、二要素認証を使う重要性も示している。Rokuは今回の漏えいを受けて、全アカウントで二要素認証を必須化した。これにより、たとえパスワードが漏えいしても、電話番号やメールアドレスに送られる二つ目の認証コードがない限り、アカウントにアクセスすることはできなくなった。
セキュリティ研究者は助けようとしてたのに賞:City of Columbus
8月、セキュリティ研究者のデイビッド・ロス・ジュニア(コナー・グッドウルフの名でも知られる)は、オハイオ州コロンバス市へのランサムウェア攻撃が、当局の当初の発表をはるかに超える深刻な事態だったことを突き止めた。研究者がメディアに情報を提供して証拠を示したところ、市は逆に彼を複数の法律違反で告発し、口止めのための差し止め命令を取得した。
市当局は研究者を黙らせようとするのではなく、むしろ被害の実態を明らかにして市民の理解を助けた功績を称えるべきだった。EFFもセキュリティ研究者たちも、このような調査の重要性をよく理解している。実際、EFFには研究者とその活動を守るための専門の法律チームまで存在する。
では、セキュリティ研究者への対応を誤った典型例を見てみよう。7月、コロンバス市はランサムウェア攻撃を受けたことを認めた。Rhysidaと名乗るグループが犯行声明を出したものの、市は身代金の支払いを拒否。すると、グループは盗んだデータの一部をオンラインに投稿した。市長は、盗まれたデータは「暗号化されているか破損している」ため、ほとんど使い物にならないと発表した。しかし、デイビッド・ロスの調査により、市民の個人情報が実際には利用可能な状態で流出していたことが地元メディアを通じて明らかになった。彼は市当局への接触も試みている。
この報道を受けて数日後、市は全市民に無料のクレジット監視サービスを提供し、当初の発表が不正確だったことを認めざるを得なくなった。
しかし同時に、市は研究者に対する法的措置も取った。裁判所は、研究者によるデータへのアクセス、ダウンロード、配布を禁止する暫定的な差し止め命令を出した。その後、研究者はより限定的な差し止めに合意することを余儀なくされた。最終的に市は、数十万人分のデータが流出したことを認めた。その中には運転免許証、社会保障番号、職員情報に加え、未成年被害者や潜入捜査官、警察の情報提供者の身元情報まで含まれていた。
Have I Been Pwned?賞:Spoutible
Spoutibleの漏えい事件は、まるで玉ねぎの皮をむくように、掘り下げれば掘り下げるほど驚くべき事実が次々と明らかになっていった。
すべては漏えいしたAPIから始まった。このAPIは、各ユーザについて、ソーシャルメディアプラットフォームとして当然想定される情報だけでなく、メールアドレスやIPアドレス、電話番号までも返していたのだ。信じられない!どうしてそんなことを!?
しかも、それだけではない。パスワードのbcryptハッシュまで含まれていた。信じられない!どうしてそんなことを!?
まあ、少なくとも二要素認証(2FA)でパスワード漏えいから守られているはず――と思いきや、なんとAPIは2FAのワンタイムパスワードを生成する秘密鍵まで返していたのだ。信じられない!つまり、2FAを有効にしていたユーザも、このフィールドが誰でも見られる状態だったため、その保護は即座に無効化されていたということだ。
そして、とどめの一撃がAPIの次のフィールド「em_code」だ。パスワードリセット時に送られてくる、そのメールアドレスの所有者であることを証明する秘密のコード――あのコードがそのまま含まれていたのだ!信じられない!
――このBreachiesへの寄稿は、ゲスト執筆者トロイ・ハント氏による。
報告がムチャクチャ賞:National Public Data
2024年1月の時点で、National Public Dataという会社の名前を聞いたことがある人は、ほとんどいなかっただろう。しかし4月から6月にかけて、この身元調査データブローカーから少なくとも3億人分の氏名、電話番号、住所、社会保障番号が流出したという報道が相次いだ。8月になると、その数は29億人にまで膨れ上がり、10月にはNational Public Dataは破産を申請。ウェブサイトには漏えい通知だけを残して姿を消した。
では、実際に何が流出したのか? この疑問に対する報道は、むしろ新たな疑問を次々と生み出すばかりだった。残念なことに、National Public Dataは、自社が管理に失敗したデータについて詳しい説明をすることなく消えてしまった。
ある分析によると、データセットの一部は不正確で、重複も多かったという。また、1億3700万件のメールアドレスは含まれていたものの、それらは社会保障番号とリンクされていなかった。別の分析でも同様の結果が出ている。社会保障番号については、おそらく2億7200万件程度が含まれていたとされる。データは非常に乱雑で、氏名が誤ったメールアドレスや住所と紐付けられていたり、すでに亡くなっている人々の情報も大量に混ざっていたりした。そして、あの29億人という数字? 実はこれは、データセットの行数であって、個人の数ではなかった。この数字は、フロリダで提出された訴状から広まったようだ。
さて、この混沌とした状況を整理するのに、カウント伯爵の出番かもしれない。
実際の被害者は何人だったのか? 残念ながら、確実な数字を出すのは難しい。唯一確実なのは、NPDが引退した保安官代理と小さな映画スタジオが経営する程度の小規模な組織だったということだ。このデータブローカーはタイタニック号以上に派手に撃沈したが、他にも何百もの同業のデータブローカーたちが情報収集と蓄積を続け、呑気に次の氷山に向かって突き進んでいる。
過去最大級の医療データ漏えい賞:Change Health
2月、Change Healthcareへのランサムウェア攻撃により、1億人を超える患者の医療情報が流出した。米国の医療保険請求の40%を処理しているこの企業は、約1か月間システムを停止せざるを得なくなった。その結果、全米の医療機関は日常業務が維持できなくなり、患者は必要な医療を受けにくい状況に追い込まれた。一方で、流出したデータは何百万人もの米国民に長期的な影響をもたらす可能性がある。個人を特定できる情報、病歴、処方薬の情報、保険の詳細、財務情報、政府発行の身分証明書など、なりすまし犯罪や保険詐欺に悪用されかねない情報が含まれているからだ。
医療記録の不正利用は、一般的な金銭的詐欺やなりすまし犯罪よりも発見と是正が困難な場合が多い。FTCは、医療情報の窃取リスクがある人々に対し、身に覚えのない医療費請求や督促状に注意するよう呼びかけている。
このハッキング事件は、サイバー攻撃の標的が増加している医療業界において、サイバーセキュリティ強化の必要性を浮き彫りにした。Change Healthcareのハッカーは、基本的なセキュリティ対策である二要素認証が欠如していたため、重要なシステムに侵入できたのだ。
事態をさらに深刻にしたのは、Change HealthcareとOptumの最近の合併だ。反トラスト当局が阻止を試みたものの失敗したこの合併により、膨大な量のセンシティブ情報がさらに一極集中することになった。多くの医療提供者は、今回の混乱の規模の原因を企業統合に求めている。米国医師会の前会長が指摘したように、「選択肢が1つしかないということは、ハッカーにとっても1つの巨大な標的があるということだ。それを潰せれば、米国の医療システム全体が機能停止に追い込まれる」。プライバシーと競争は密接に関連しており、データ漏えいと独占は表裏一体の問題なのである。
「善人」だけがアクセスできるバックドアなど存在しないで賞:Salt Typhoon
企業が法執行機関にユーザデータへのアクセス用バックドアを設置すると、それは盗っ人や外国政府、その他の敵対者にとっての侵入口にもなる。「善人」だけが利用できるという魔法のようなアクセス方法など存在しないのだ。中国政府の支援を受けたハッカーグループ、Salt Typhoonによる攻撃ほど、この事実を如実に示した事例はない。
通信事業者は一般に、CALEAなどの法律の要件を満たすため、法執行機関や情報機関にユーザデータへのアクセスを提供する特別なシステムを用意している。これは「適法傍受」――つまり盗聴――のための手段だ。
Salt Typhoonグループは、米国政府機関専用とされていた強力なツールへのアクセスに成功し、VerizonやAT&Tなど、米国最大手の通信ネットワークに侵入した。米国の法執行機関による盗聴要請に基づいて監視対象を特定し、別のシステムに侵入することでリアルタイムでの通話傍受まで可能だった。その標的は米国の監視下にある人々が含まれていたが、2024年の大統領選挙の両陣営や国務省の職員までもが標的にされた。
これまでに特定された標的は150人未満だが、その標的者たちと通話やメッセージをやり取りした人々は「数百万人」に上るとされている。これはこの問題についてブリーフィングを受けた上院議員の発言だ。さらに厄介なことに、Salt Typhoonのハッカーたちは、侵入したネットワークからまだ完全には排除されていないという。
認可された政府機関だけが使えるバックドア・アクセスツールという考え方には、当初から欠陥があった。Salt Typhoonの攻撃によるデータ漏えいは、世界中で洗練された国家支援のハッカー集団が暗躍していることを考えれば、時間の問題だったと言わざるを得ない。
雪だるま式漏えいオブ・ザ・イヤー賞:Snowflake
米国のクラウド分析プロバイダSnowflakeの企業顧客アカウントが不正アクセスを受けた。その顧客にはAT&T、Ticketmaster、Santander、Neiman Marcusなど、計165社もの大手企業が含まれていた。
この大規模な漏えいにより、これらの企業を利用する個人の何十億ものデータ記録が流出した。Snowflake以外のマシンへの情報窃取マルウェア感染と、影響を受けたアカウントの脆弱なセキュリティが重なり、ハッカーはアクセスを獲得して顧客を恐喝することができた。ハッキングが行われた時期(今年4月から7月)、Snowflakeはアカウントのセキュリティ対策として二要素認証すら要求していなかった。セキュリティ研究者らが脅威アクターの何人かの身元を特定した後、複数の逮捕者が出ている。
ところで、そもそもSnowflakeとは何をする会社なのか?同社のウェブサイトによれば、「データの保存、処理、分析ソリューションを提供するクラウドベースのデータプラットフォーム」だという。つまり、企業が閲覧できるように顧客データの山を保存し、整理する仕事をしているわけだ。そして、保存されるデータ量が増えれば増えるほど、悪意のある者にとっては企業を恐喝する材料も増えることになる。問題は、そのデータが我々全員に関するものだということだ。例えばSnowflakeの顧客であるAT&Tの場合、顧客の通話やテキストメッセージの記録が何十億件も含まれており、個人のセンシティブな情報が露出するリスクにさらされている。プライバシーファーストのアプローチでは、データミニマイゼーションなどの手法を採用し、そもそもそのようなデータを収集しないか、保持期間を短縮するはずだ。そうしなければ、データは次の漏えいを待つ餌食として放置されることになる。
自分を守るためのヒント
データ漏えいがあまりにも日常的になってしまい、もはや何もできない、試す価値もないと感じてしまうかもしれない。しかし、プライバシーは死んでいない。確かに、あなたに関する情報の一部はどこかに存在しているだろう。でも、それは諦める理由にはならない。むしろ、行動を起こすべき理由になるはずだ。
次のデータ漏えい(そしてその次も、その次も)から身を守るため、今すぐオンラインアカウントで実践できる対策がある。
- すべてのオンラインアカウントで異なるパスワードを使う。 パスワードマネージャを使えば――スマートフォンやブラウザに無料で付いているものでも――この作業ははるかに簡単になる。サービスごとに異なるパスワードを使えば、1つのサイトの漏えいが他のサイトに波及することはない。
- 二要素認証が利用できるサービスでは必ず有効にする。 二要素認証は、ログイン時にパスワードに加えて別の認証手段(「要素」)を要求することで、オンラインアカウントの安全性を高める。確かにログイン手順は一手間増えるが、パスワードが漏えいした場合でも部外者を締め出す優れた防御手段となる。
- クレジット情報を凍結する。 多くの専門家は、データ漏えいによるなりすまし被害から身を守る手段として、主要な信用情報機関でのクレジット凍結を推奨している。クレジットを凍結すると、PINやパスワードといった追加の認証情報なしには、誰かがあなたの名義で新たな与信枠を開設できなくなる。銀行口座さえ開設できないのは不便に思えるかもしれないが、子どもがいる場合は子どものクレジットも凍結できる。
- 不審な医療費請求に目を光らせる。 今年は医療機関からの漏えいが相次いだため、医療保険詐欺にも警戒が必要だ。連邦取引委員会は、身に覚えのない請求書や、受けていないサービスについての保険会社からの通知、突然の督促状には特に注意するよう呼びかけている。
(不)名誉な言及(特別賞)
2023年は3,000件を超えるデータ漏えいがあったとする報告もある。今年の件数はやや少なめで、第3四半期末時点で約2,200件だ。とはいえ、2,200件という数字は決して安心できる水準ではない。
我々はこの2,000件超の漏えい事件すべてを調査したわけではないが、その多くについて、ニュース報道や各州司法長官事務所のウェブサイトに掲載された漏えい通知を精査した。残念ながら、今年漏えいを起こした企業すべてに栄えある「Breachie」賞を贈ることはできない。それでも、以下の企業は(不)名誉な言及に値するだろう。
ADT、Advance Auto Parts、AT&T、AT&T(二度目)、Avis、Casio、Cencora、Comcast、Dell、El Salvador、Fidelity、FilterBaby、Fortinet、Framework、Golden Corral、Greylock、Halliburton、HealthEquity、Heritage Foundation、HMG Healthcare、Internet Archive、LA County Department of Mental Health、MediSecure、Mobile Guardian、MoneyGram、muah.ai…
さて、今後どうすべきか?企業は事業運営に真に必要なデータだけを収集し、保管する情報の保護に、もっと真剣に取り組む必要がある。また、米国は包括的なプライバシー保護法を制定すべきだ。最低でも、このような漏えいが起きた際に企業を訴えられる権利は確保すべきだろう(それと、5.21ドルの小切手以上の補償があってもいいはずだ)。EFFは長年にわたり、個人の私訴権を含む強力な連邦プライバシー法の制定を訴えている。
The Breachies 2024: The Worst, Weirdest, Most Impactful Data Breaches of the Year | Electronic Frontier Foundation
Author: Thorin Klosowski, Lena Cohen, Cooper Quintin, Paige Collings, Christian Romero, Jason Kelley, Mario Trujillo, Joe Mullin, Bill Budington, and Guest Author / EFF (CC BY 3.0 US)
Publication Date: December 19, 2024
Translation: heatwave_p2p