転職情報サイトで不具合 - 直近勤務先から登録情報が閲覧可能に
パーソルキャリアは、転職情報サイトの個人向けサービス「dodaスカウトサービス」の一部登録情報が本来閲覧をブロックすべき直近の勤務先企業から閲覧できる状態となっていたことを明らかにした。
同社によれば、2018年8月7日から2023年10月31日にかけて法人向けに提供する「doda Request」の検索閲覧画面において不具合が生じていたもの。同サービスの利用企業から指摘があり問題が判明した。
同社システムにあらかじめ登録されている企業名と、個人顧客が「dodaスカウトサービス」で入力した直近勤務先企業の表記が、アルファベット、カタカナ、数字における大小文字や全半角などの差異によって完全に一致しない場合、直近の勤務先企業より閲覧をブロックする機能が正常に動作していなかった。
閲覧可能だったのは、ウェブ履歴書より入力された年齢や性別、居住都道府県、最終学歴、保有資格、経験職種、スキル、英語力、転職回数、海外赴任経験、直近の年収、職務内容、希望業種、希望年収などの情報。氏名や生年月日、市町村以降の住所などは含まれていない。
閲覧にくわえて、スカウトメールの送信なども行える状態だった。「dodaスカウトサービス」に登録する9万6338人が不具合の影響を受けた可能性がある。
企業データベースと個人プロフィールの突合プログラムにおける設計に不備があったという。同社では同サービスを停止しており、対象となる個人顧客に順次連絡している。
(Security NEXT - 2023/11/08 )
ツイート
関連リンク
PR
関連記事
「FortiBleed」に国内組織の情報も - 影響調査など実施を
札幌市内の郵便局、一部郵便物が所在不明に
海外グループ2社にサイバー攻撃、影響など調査 - サッポロHD
通話品質検証用の一部サーバでデータ侵害のおそれ - ソフツー
プロジェクト申込フォームで設定ミス、既存回答が閲覧可能に - NPO法人
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正
「Node.js」に12件の脆弱性 - 修正版を公開
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
