freee、「Salesforce」利用の複数フォームに設定不備 - 他社事例と異なる部分

クラウド会計サービスを展開するfreeeは、外部クラウドサービスを用いて設置していた複数の問い合わせフォームに設定の不備があり、入力された情報が外部よりアクセス可能となっていたことを明らかにした。

同社が、セールスフォース・ドットコムのクラウド営業支援サービス「Salesforce」を用いて設置していたアカウント再設定の申請フォームや、料金の問い合わせフォーム、人材募集のフォームにおいて、入力された内容が外部よりアクセスできる状態となっていたもの。

対象となるのは、2020年1月29日から2021年2月9日にかけて送信された2898件。2898件のメールアドレスのほか、送信内容によって含まれる個人情報は異なり、氏名1744件、電話番号794件などが含まれる。

また住所7件や金融機関の口座番号3件や、クレジットカード番号2件、同社以外のサービスに関するIDやパスワード2件、同社のIDやパスワード1件なども記載されていた。

権限の設定における不備が原因で、外部専門家より指摘があり、2021年2月8日22時ごろに確認した。

（Security NEXT - 2021/02/10 ） ツイート

PR

関連記事

リフト券システムがランサム被害、個人情報流出の可能性 - ガーラ湯沢
会員サイトで個人情報を誤表示、CDN設定不備で - エバラ食品
情報共有システムで契約者の個人情報が閲覧可能に - JA共済
空き家バンク登録物件ページに個人情報含むファイル - 嘉麻市
物価高騰対策のゴミ収集袋送付で不備、ラベル二重貼付 - 青梅市
住民向け土石流異常通知メール、試験配信でメアド流出 - 静岡県
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
プログラム不備で誤送信、メアド流出 - 横須賀商工会議所
ミュージカル製作発表の観客申込フォームで設定ミス - 個人情報が流出
資料請求フォームで個人情報が閲覧可能に、過去にも発生 - 会津短大