一部製品にユーザー情報が混入、利用者へ展開 - チエル

文教分野にICT製品を提供するチエルは、顧客へ提供した製品に無関係のユーザー情報が混入していたことを明らかにした。

学校内のID管理サーバを統合し、ユーザー情報を一元管理できる学校向けシステム「ExtraConsole ID Manager」に、本来含まれるべきではないユーザー情報が存在し、無関係の利用者に展開していたことが明らかとなったもの。

同製品のユーザーである大学のシステム担当者2人が検証作業を行っていた際に、関係ない別のユーザーに関する個人情報が閲覧されたことが7月13日に判明した。

問題のデータには、学校名や管理コード、学年、学級、番号、氏名、生年月日、性別、出身校、転入出や進学先などの学校情報など2万3508件の個人情報にくわえ、氏名、メールアドレス、パスワード、ユーザーID、学籍番号、生年月日など7036件などが含まれる。

同社が保守目的で自社にプログラムを持ち出した際、システムに不具合があり、本来含まれべきでないユーザー組織の個人情報が混入。さらに開発担当者が異なる顧客へ展開するためのプログラムにそれらデータが含まれていた。

（Security NEXT - 2023/07/26 ） ツイート

PR

関連記事

「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘
「WebSphere App Server」に複数の深刻な脆弱性 - 暫定パッチ公開
教室内で保管した小学校の児童情報含む書類が所在不明 - 大阪市
元職員が個人情報を掲示板投稿、システム設定に不備も - 津田塾大
個人情報含む文書を外部サイトに掲載、職員を処分 - 郡山広域消防
公開講座を案内する一斉メールで送信ミス - 東北学院大
エフサス製サーバ管理ソフト「ServerView Agents for Windows」に複数脆弱性
分散型DB「Apache Ignite」に脆弱性 - 修正版が公開
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認