Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

転職情報サイトで不具合 - 直近勤務先から登録情報が閲覧可能に

パーソルキャリアは、転職情報サイトの個人向けサービス「dodaスカウトサービス」の一部登録情報が本来閲覧をブロックすべき直近の勤務先企業から閲覧できる状態となっていたことを明らかにした。

同社によれば、2018年8月7日から2023年10月31日にかけて法人向けに提供する「doda Request」の検索閲覧画面において不具合が生じていたもの。同サービスの利用企業から指摘があり問題が判明した。

同社システムにあらかじめ登録されている企業名と、個人顧客が「dodaスカウトサービス」で入力した直近勤務先企業の表記が、アルファベット、カタカナ、数字における大小文字や全半角などの差異によって完全に一致しない場合、直近の勤務先企業より閲覧をブロックする機能が正常に動作していなかった。

閲覧可能だったのは、ウェブ履歴書より入力された年齢や性別、居住都道府県、最終学歴、保有資格、経験職種、スキル、英語力、転職回数、海外赴任経験、直近の年収、職務内容、希望業種、希望年収などの情報。氏名や生年月日、市町村以降の住所などは含まれていない。

閲覧にくわえて、スカウトメールの送信なども行える状態だった。「dodaスカウトサービス」に登録する9万6338人が不具合の影響を受けた可能性がある。

企業データベースと個人プロフィールの突合プログラムにおける設計に不備があったという。同社では同サービスを停止しており、対象となる個人顧客に順次連絡している。

(Security NEXT - 2023/11/08 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「メッシュWi-Fi」の顧客情報が流出、ログサーバ侵害で - J:COM
複数端末やサーバがランサム被害、情報流出の可能性 - 中嶋製作所
開示請求者の情報がサイト上で閲覧可能に - 都交通局
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
「Concrete CMS」に新板 - 複数脆弱性を修正
看護職員修学資金の書類を異なる宛先に送付 - 静岡県
個人情報含む資料を置き忘れ、一時紛失 - 鹿児島市
LINEヤフーに韓国関連会社経由でサイバー攻撃 - 個人情報約44万件が流出
都パスポートセンターの従業員が書類送検 - 個人情報記載の付箋を窃取
プレゼント応募者の名簿が公開状態に - 高知さんさんテレビ