freee、「Salesforce」利用の複数フォームに設定不備 - 他社事例と異なる部分
クラウド会計サービスを展開するfreeeは、外部クラウドサービスを用いて設置していた複数の問い合わせフォームに設定の不備があり、入力された情報が外部よりアクセス可能となっていたことを明らかにした。
同社が、セールスフォース・ドットコムのクラウド営業支援サービス「Salesforce」を用いて設置していたアカウント再設定の申請フォームや、料金の問い合わせフォーム、人材募集のフォームにおいて、入力された内容が外部よりアクセスできる状態となっていたもの。
対象となるのは、2020年1月29日から2021年2月9日にかけて送信された2898件。2898件のメールアドレスのほか、送信内容によって含まれる個人情報は異なり、氏名1744件、電話番号794件などが含まれる。
また住所7件や金融機関の口座番号3件や、クレジットカード番号2件、同社以外のサービスに関するIDやパスワード2件、同社のIDやパスワード1件なども記載されていた。
権限の設定における不備が原因で、外部専門家より指摘があり、2021年2月8日22時ごろに確認した。
(Security NEXT - 2021/02/10 )
ツイート
関連リンク
PR
関連記事
施工現場のNASに設定ミス、情報が外部流出 - 大和ハウス工業
ゲートキーパー養成講座の申込情報が閲覧可能に - 海老名市
委託先でメール誤送信、一斉送信プログラムに不備 - 新潟県
委託関係ない企業に個人情報、ランサム被害の影響波及 - ニチユ健保
フォーム不備で申込者情報が閲覧可能に - 男性向けヘアサロン
ファンクラブ限定アプリで個人情報を誤表示 - キャッシュ設定に不備
配信者のメルアドなど特定操作で閲覧可能に - 音声ライブ配信サービス
神奈川県、障害者虐待の届出資料を紛失 - 委託先変更の影響も
都水道局に個人情報聞き出す複数の「なりすまし電話」
WS申込者の個人情報が閲覧可能に、設定ミスで - 宇都宮美術館