外部サービスのAPIで役職員情報が公開状態 - LINEヤフー

LINEヤフーは、外部サービスのAPI設定に不備があり、システムに登録されていた役職員情報が外部から取得できる状態だったことを明らかにした。

同社によれば、APIの設定不備が判明したのは、旧LINEが社内のIT資産管理に利用していたサービス。APIより特定の操作により登録されていた役職員情報を外部から取得できる状態だった。役職員の氏名、メールアドレス、役職名のほか、社内問い合わせに関する情報などが対象となる。

2023年10月18日にLINEのバグバウンティプログラム参加者から報告があり、今回の問題が発覚。同社では同日、外部からアクセス可能になっていた機能をアクセスできないよう設定を変更した。

同社では対象となる役職員に連絡を取っているが、退職などで連絡が取れない場合は、公表をもって通知とするとしている。

（Security NEXT - 2024/01/22 ） ツイート

PR

関連記事

ファイル共有設定ミスで意図せずCC送信 - メアド閲覧可能に
ウェブ問合フォームの入力情報が外部流出 - 川本製作所
サーバに攻撃の痕跡、一部情報流出を確認 - 人材サービス事業者
フィッシング報告が減少、URLは9％増 - 4分の3超が独自ドメイン
2025年3Qのネット銀不正送金被害 - 件数、金額ベースともに7割減
2025年3Qクレカ番号盗用被害、3年ぶりに100億円を割り込む
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
高校で1クラス分の出席簿が所在不明に - 神奈川県
高校の修学旅行引率中に名簿含むしおりを紛失 - 埼玉県
資料請求フォームで個人情報が閲覧可能に、過去にも発生 - 会津短大