連番URLで他顧客情報が容易に閲覧可能 - 大東建託

大東建託グループが保有する顧客情報の一部が、インターネット上で一時閲覧できる状態だったことがわかった。

顧客向けに用意している「データ共有機能」において、関係ない他顧客情報へ容易にアクセスできる状態だったことが判明したとして公表したもの。7月20日に顧客から指摘があり、確認したところ問題が発覚した。

「データ共有機能」は、サーバ上へアップロードした契約関連書類や物件の資料などをURLにより顧客と共有する機能。共有したURL文字列の一部を変更することで、関係ない他顧客の情報にアクセスできる状態だった。

アップロードされた個人情報を含むファイル331件については、URLが連番となっていた。2012年6月18日から2020年7月20日までの間に大東建託および大東建託リーシング、大東建託パートナーズと取り引きした顧客687人分の氏名や住所が含まれる。

連番となっていなかったファイルの件数については、本誌取材に対し「詳細を差し控える」としてコメントを避けた。また一連のURLへアクセスする際に、ログイン認証が用意されていたかについても回答は得られなかった。

（Security NEXT - 2020/08/05 ） ツイート

PR

関連記事

クーポン申請システムで個人情報が閲覧可能に - 神戸須磨シーワールド
サイト問合時の添付ファイルが外部から閲覧可能に - システム開発会社
成績データを誤アップロード、生徒がSNSで共有 - 静岡県
コラボアプリで承認ミス、小学校職員グループに児童が参加 - 石狩市
フォーム設定ミスでイベント応募者情報が閲覧可能に - 岡山シーガルズ
プレゼント申請フォームで応募者情報が閲覧可能に - 伊予市
システム不具合で個人情報が閲覧可能に - 河合楽器
当選案内メールで誤送信、受信者の返信で二次被害 - 山口県
ファイル送信ミスなど県立学校4校で個人情報関連事故 - 群馬県
読プレ応募者情報が閲覧可能に、フォーム設定ミスで - 琉球新報