「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
他社において、「Salesforce」の設定ミスが判明したことから、同行では2020年12月に調査を実施。調査当時に入力された情報について、外部より閲覧できないことを確認したが、以降も他社で設定不備の発表が相次いだため、2021年2月初旬より再度調査を行ったところ、7月19日以前に入力された情報については、外部より閲覧できる状態だったことが判明した。
2月の再調査から発表までに約2カ月を要したが、同行は情報やログの入手、セカンドオピニオンなど実施したほか、顧客への連絡などを行っていたため、時間を要したという。
他社において、同クラウドサービス上で暗号化して保存していた情報が、特定の経路よりアクセスすると平文で閲覧できたケースが判明しているが、同行はこうした事例も踏まえて調査を行い、「暗証番号」「パスワード」を第三者が閲覧できないことを確認したと強調した。
同行では、対象となる顧客に経緯を説明して謝罪。また本人確認書類に関しては、異なるシステムで管理しており、第三者によるアクセスの心配はないとしている。
(Security NEXT - 2021/04/23 )
ツイート
関連リンク
PR
関連記事
クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入