Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

問合フォームの入力情報が閲覧可能に - アドバンテッジEAP

アドバンテッジリスクマネジメント、東京海上日動メディカルサービス、ネオスが提供している従業員支援サービス「アドバンテッジEAP」において、問い合わせフォームの入力内容が外部から閲覧できる状態だったことがわかった。

アドバンテッジリスクマネジメントによれば、2018年4月10日から2021年1月26日にかけて、同サービスの問い合わせフォームに入力された情報のログデータが、特定のURLを入力することで外部から閲覧可能な状態だった。

1万2019人より寄せられた1万4384件の問い合わせ内容が記録されており、氏名、生年月日、所属企業名、メールアドレス、問い合わせ内容のほか、一部は電話番号も含まれる。

同サービスのシステム管理を担当するネオスが、1月26日にシステムの保守作業を行った際に不備を認識し、対象となるデータを外部から閲覧できない場所へ移動した。

2018年4月10日に問い合わせフォームをリリースした際、同機能の動作確認などのために設定したログの出力先を、担当者の設定ミスにより、外部から閲覧できる場所に指定したことが原因だという。

(Security NEXT - 2021/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

検定合否情報など含むファイルをメールに誤添付 - 企業環境リスク解決機構
公演中止の案内メールでメールアドレスが流出 - 掛川市文化財団
通販顧客のメールアドレスが流出 - 入浴剤通販サイト
職員アカウントが海外より不正アクセス、スパムの踏み台に - 尚絅学院大
職員が人事情報に不正アクセス、職務情報よりPW推測 - 宜野湾市
メール誤送信でオープンキャンパス申込者のメアド流出 - 国立音大
クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
「Omiai」運営会社の企業サイトで不具合 - 顧客の問い合わせを意図せずキャッシュ
原子力規制委への不正アクセス、VPNの既知脆弱性が起点に
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀