問合フォームの入力情報が閲覧可能に - アドバンテッジEAP
アドバンテッジリスクマネジメント、東京海上日動メディカルサービス、ネオスが提供している従業員支援サービス「アドバンテッジEAP」において、問い合わせフォームの入力内容が外部から閲覧できる状態だったことがわかった。
アドバンテッジリスクマネジメントによれば、2018年4月10日から2021年1月26日にかけて、同サービスの問い合わせフォームに入力された情報のログデータが、特定のURLを入力することで外部から閲覧可能な状態だった。
1万2019人より寄せられた1万4384件の問い合わせ内容が記録されており、氏名、生年月日、所属企業名、メールアドレス、問い合わせ内容のほか、一部は電話番号も含まれる。
同サービスのシステム管理を担当するネオスが、1月26日にシステムの保守作業を行った際に不備を認識し、対象となるデータを外部から閲覧できない場所へ移動した。
2018年4月10日に問い合わせフォームをリリースした際、同機能の動作確認などのために設定したログの出力先を、担当者の設定ミスにより、外部から閲覧できる場所に指定したことが原因だという。
(Security NEXT - 2021/02/12 )
ツイート
PR
関連記事
会員サイトで個人情報を誤表示、CDN設定不備で - エバラ食品
情報共有システムで契約者の個人情報が閲覧可能に - JA共済
2度にわたりメール誤送信、メアド2376件が流出 - 大教大
「My SoftBank」上で個人情報など誤表示 - メールで取り違えも
ゼロデイ攻撃の調査結果、一部流出もPW含まず - TOKAIコミュニケーションズ
クラウド用ネットワークに侵入、個人情報やシステム情報が流出か - STNet
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
誤送信やSNS投稿など個人情報関連事故を公表 - 日本小児理学療法学会
ジモティー開発環境の侵害、自動ビルド用外部プログラムに不正コード
関係者向けの通知メールで誤送信、メアド流出 - 東村山市
