Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

能力測定サービスで他人の受験結果が閲覧可能に - Z会

Z会ソリューションズは、生徒の資質や能力を測定するサービス「DiscoveRe Method」において、関係ない別の受検者に関する受検結果を閲覧できる状態となっていたことを明らかにした。

同社によれば、同サービスのウェブシステムにおいて受検者向けの受検結果確認画面に学校単位など同じグループで受検した他受検者に関する氏名やスコアが含まれていたもの。

全体傾向と個人の結果を表す散布図のソースコードを参照することで閲覧が可能だったという。10月4日に利用者から指摘があり問題が発覚した。

問題のシステムを使用開始した2021年7月22日以降、受検した20団体4057人の受検者について、同一グループに属する受検者の情報を閲覧できる状態だった。もっとも受験者が多いグループで65人としている。

システムを開発した委託先が調査を行ったところ、教師など管理者用の画面に使用している機能部分のコードを受検者画面に転用した際、不要となる部分を削除していなかったという。

10月5日に同システムの修正を完了。同社では、対象となる受検者が所属する団体の管理者へ、電話およびメールで経緯の説明と謝罪を行っている。

(Security NEXT - 2022/10/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

2Qはインシデントが約8.5%増 - フィッシングが増加
アカウント管理システムに侵害の痕跡、個人情報が流出 - 伊藤忠丸紅鉄鋼子会社
Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低
「BIND 9」にアップデート - DoS脆弱性4件を修正
Chromeのアップデートが公開 - セキュリティ関連で24件の修正
「MS Edge」にセキュリティアップデート - 脆弱性8件を修正
ブラウザ「Chrome」にアップデート - セキュ関連で10件の修正
特権アクセス管理製品「Symantec PAM」に複数脆弱性 - 「クリティカル」も
JupyterLabの機能拡張作成用テンプレートに脆弱性 - リポジトリに影響
イベント申込フォームで設定不備、個人情報が閲覧可能に - 多摩SDC