外部サービスのAPIで役職員情報が公開状態 - LINEヤフー

LINEヤフーは、外部サービスのAPI設定に不備があり、システムに登録されていた役職員情報が外部から取得できる状態だったことを明らかにした。

同社によれば、APIの設定不備が判明したのは、旧LINEが社内のIT資産管理に利用していたサービス。APIより特定の操作により登録されていた役職員情報を外部から取得できる状態だった。役職員の氏名、メールアドレス、役職名のほか、社内問い合わせに関する情報などが対象となる。

2023年10月18日にLINEのバグバウンティプログラム参加者から報告があり、今回の問題が発覚。同社では同日、外部からアクセス可能になっていた機能をアクセスできないよう設定を変更した。

同社では対象となる役職員に連絡を取っているが、退職などで連絡が取れない場合は、公表をもって通知とするとしている。

（Security NEXT - 2024/01/22 ） ツイート

PR

関連記事

「Firefox」に複数の脆弱性 - セキュリティアップデートを公開
MS、3月の月例パッチを公開 - 脆弱性79件に対処
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Ivanti DSM」に権限昇格の脆弱性 - アップデートで修正
DDoS攻撃で一時サイトが閲覧しづらい状態に - 日本産業衛生学会
投票所へバイクで移動中、個人情報含む書類を紛失 - 高槻市
ランサムウェア被害による情報流出を確認 - 穴吹ハウジングサービス
AWSアカウントに不正アクセス、スパム送信の踏み台に - つくるAI
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
システムがランサム被害、詳細を調査 - ウチヤマHD