イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市

福島県会津若松市は、職員がイベントの申込フォームにおいて設定を誤り、申込者の個人情報が第三者から閲覧できる状態だったことを明らかにした。

同市によれば、2月28日から3月7日にかけて「まるごと健康ウィーク！！inおおとvol.2」の申し込みフォームにおいて設定ミスの状態となっていたもの。

フォームより先に申し込みを行っていた4人の氏名、住所、電話番号、メールアドレス、4人の氏名と電話番号がフォームにアクセスした人から閲覧可能となっていた。

3月8日に外部関係者からの指摘で申込フォームが編集可能となっていることが判明。フォームを閉鎖して調べたところ、少なくとも3月7日に申し込もうとしていた1人が、先に申し込んでいた4人の個人情報を閲覧できたことを確認した。

イベント周知用のチラシに記載したQRコードを誤って管理者用URLで作成してしまい、さらにフォームの設定を誰でも編集や閲覧できる共有設定に変更してしまったため発生したとしている。

同市では、個人情報が閲覧可能となった申込者に対し、イベント当日に直接会って説明と謝罪を行ったとしている。

（Security NEXT - 2024/04/12 ） ツイート

PR

関連記事

研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール