イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市

福島県会津若松市は、職員がイベントの申込フォームにおいて設定を誤り、申込者の個人情報が第三者から閲覧できる状態だったことを明らかにした。

同市によれば、2月28日から3月7日にかけて「まるごと健康ウィーク！！inおおとvol.2」の申し込みフォームにおいて設定ミスの状態となっていたもの。

フォームより先に申し込みを行っていた4人の氏名、住所、電話番号、メールアドレス、4人の氏名と電話番号がフォームにアクセスした人から閲覧可能となっていた。

3月8日に外部関係者からの指摘で申込フォームが編集可能となっていることが判明。フォームを閉鎖して調べたところ、少なくとも3月7日に申し込もうとしていた1人が、先に申し込んでいた4人の個人情報を閲覧できたことを確認した。

イベント周知用のチラシに記載したQRコードを誤って管理者用URLで作成してしまい、さらにフォームの設定を誰でも編集や閲覧できる共有設定に変更してしまったため発生したとしている。

同市では、個人情報が閲覧可能となった申込者に対し、イベント当日に直接会って説明と謝罪を行ったとしている。

（Security NEXT - 2024/04/12 ） ツイート

PR

関連記事

教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意