能力測定サービスで他人の受験結果が閲覧可能に - Z会
Z会ソリューションズは、生徒の資質や能力を測定するサービス「DiscoveRe Method」において、関係ない別の受検者に関する受検結果を閲覧できる状態となっていたことを明らかにした。
同社によれば、同サービスのウェブシステムにおいて受検者向けの受検結果確認画面に学校単位など同じグループで受検した他受検者に関する氏名やスコアが含まれていたもの。
全体傾向と個人の結果を表す散布図のソースコードを参照することで閲覧が可能だったという。10月4日に利用者から指摘があり問題が発覚した。
問題のシステムを使用開始した2021年7月22日以降、受検した20団体4057人の受検者について、同一グループに属する受検者の情報を閲覧できる状態だった。もっとも受験者が多いグループで65人としている。
システムを開発した委託先が調査を行ったところ、教師など管理者用の画面に使用している機能部分のコードを受検者画面に転用した際、不要となる部分を削除していなかったという。
10月5日に同システムの修正を完了。同社では、対象となる受検者が所属する団体の管理者へ、電話およびメールで経緯の説明と謝罪を行っている。
(Security NEXT - 2022/10/13 )
ツイート
関連リンク
PR
関連記事
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
委託先コンサルが個人情報含む記憶媒体を紛失 - 旭市
職員が患者情報を使用、他医療機関の開業を案内 - 済生会宇都宮病院
設定ミスでイベント申込者情報が閲覧可能に - 開催中止に
サーバがランサム被害、影響など詳細を調査 - 金子農機
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
