フォーム色々触ってみたけど編集者権限がリンクを知ってる人全員になってたなら必然やな

公式の発表通り公開する回答用URLと編集権限があるURLは別だから一見安全に見えるけど、
フォームの設定を「編集者権限がリンクを知ってる人全員」にしてあると回答者は自分のgoogle formの一覧のページにフォームが追加されててそこからフォームに飛ぶと編集用ページに飛べる
つまりアクセス権限をきちんと制限付きにしてアカウント単位で権限を管理しないと回答者は誰でも編集用ページのURLがわかる

公式発表の理由見る限りこのときは仕様がわかってないね

漏えいの経緯
Google formの編集用URLの閲覧・編集範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。

ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。

本事象から推測するに、編集用URLにアクセスできる可能性としては以下の3つの可能性があり、現在調査中となります。

第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。
ただし、2024/6/25 17:15に確認したところ、当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されませんでした。そのため、この可能性は低いと考えられます。
何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
不正アクセスにより、編集用URLが流出してしまった可能性。