情報セキュリティ講座の受講システムで個人情報漏えい 閲覧権限の設定ミス [481941988]
■ このスレッドは過去ログ倉庫に格納されています
企業向けのセキュリティソリューション事業を手がけるラック(東京都千代田区)は2月21日、情報セキュリティ講座「ラックセキュリティアカデミー」のオンライン受講システムで個人情報の漏えいがあったと発表した。
コースを申し込んだ1人の情報閲覧の権限設定に作業ミスがあった。このため、1月10日から15日までの間、該当するユーザーは過去に他のコースを受講した19人の名前やメールアドレス、受講履歴などの個人情報を閲覧できる状態になっていた。
通報を受けてラックは設定を修正。20人のユーザーに連絡して謝罪した上、システム上の全ての登録データを調査し、関係機関へ報告したという。
ラックは関係者に改めて謝罪すると共に、「今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります」としている。
https://www.itmedia.co.jp/news/spv/2402/22/news136.html ラック(東京都千代田区)
ああ・・・いつものあなたですか・・・ こんな恥を晒しておいて再起できると思ってる事まで含めてギャグ >>11
再起できるよね?
今まで何を見てきたんだい? 情報セキュリティ講座って
あれ真面目に見てるやついるのかな 権限設定自体は申し込んだ人間のアカウントに対する「管理者/一般」の切り替えオプションをミスったというだけでしょ
なんでそんな凡ミスが受講申込程度で発生するのか知らんが 受講システムの稚拙さが疑われる
注目すべきは「漏洩があった」「通報を受けて」の部分
実際にデータが流出して、個人情報が外部に流通してる状態を外から指摘されたということ アプリの脆弱性をついたような攻撃でもなければバグでもないしデータ不整合でもない
こういうのって普通はどうやって検出するもんなん? ■ このスレッドは過去ログ倉庫に格納されています