労務管理システムを提供する会社、162,830人の重要な個人情報を漏えい→調査で判明した漏えいの原因がヤバすぎる・・・

弊社サービスをご利用いただいているお客様への重要なご報告とお詫び

1. 本件の概要

本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。

当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。

2. 漏えいした個人データの項目と対象データに係る本人の数

個人データの項目：

氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像

対象データに係る本人の数：

162,830人（うち、第三者によるダウンロードが確認されたものは、154,650人）

3. 期間

（1）ダウンロードが確認された期間　2023年12月28日から2023年12月29日

（2）閲覧が可能であった期間　2020年1月5日から2024年3月22日

4. 原因

サーバーのアクセス権限設定の誤りによるものです。

■X（Twitter）より

漏えいした個人データの項目(略)
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像
162,830人（うち、第三者によるダウンロードが確認されたものは、154,650人）https://t.co/YwIwdWHLIj
おいおいおいおいおい

— Mitsuru SHIMAMURA (@smbd) March 29, 2024

ユーザが自分でアップロードしたデータとかじゃなくて企業の人事等の入力情報だというのがやばすぎるねこれ。しかもクレカとかと違って「再発行すればよい」という性質のものじゃない情報（パスポートとか写真とかが実在人物の住所氏名年齢とともに）が含まれてる…。偽造パスポート祭りになりそう

— cocoon (@cocoonP) March 29, 2024

それもそうだし、マイナンバーカードの券面画像もなので、どんな怒られが発生するのか、気になりすぎる

— Mitsuru SHIMAMURA (@smbd) March 29, 2024

つーても漏洩したものは取り戻せないしなー
漏洩した個人に直接金銭的被害が発生するわけでもないし。（間接的に発生する可能性はある）

— cocoon (@cocoonP) March 29, 2024

「カオナビ」という会社が、#ワークスタイルテック を2023年に買収し子会社にしているのですが上場しているらしく、大変そうです。https://t.co/wqBhRlMGN3

カオナビのセキュリティポリシーhttps://t.co/UCevRVeTRK

IR情報にも今回の漏洩の件が出てます。https://t.co/C9dxF6oWPe https://t.co/oGLXqYwsdN

— たれぞう🐼🐾 (@ta_re_zoh) March 29, 2024

え！
ワークスタイルテック
ISO/IEC 27001とは、情報セキュリティの国際規格であるISMSの要求事項をまとめたものです。ISO/IEC 27001の認証を取得するということは、情報セキュリティ対策の実施内容が第三者監査により適格であると認められたことを示します。 https://t.co/iKjsslcuWx pic.twitter.com/HdraiiGJwC

— 😚Cries Zone🍎 (@CriesZone) March 30, 2024

2/26 ISO27001取得
3/18 カオナビ買収
3/29 大規模情報漏洩発覚

…いや、流石にカオナビさん悲惨すぎない？ https://t.co/Xvs2za6XYx

— Hamakaze (@1105ch) March 29, 2024

漏えいした個人データの項目(略)
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像
162,830人（うち、第三者によるダウンロードが確認されたものは、154,650人）https://t.co/YwIwdWHLIj
おいおいおいおいおい

— Mitsuru SHIMAMURA (@smbd) March 29, 2024

ユーザが自分でアップロードしたデータとかじゃなくて企業の人事等の入力情報だというのがやばすぎるねこれ。しかもクレカとかと違って「再発行すればよい」という性質のものじゃない情報（パスポートとか写真とかが実在人物の住所氏名年齢とともに）が含まれてる…。偽造パスポート祭りになりそう

— cocoon (@cocoonP) March 29, 2024

それもそうだし、マイナンバーカードの券面画像もなので、どんな怒られが発生するのか、気になりすぎる

— Mitsuru SHIMAMURA (@smbd) March 29, 2024

つーても漏洩したものは取り戻せないしなー
漏洩した個人に直接金銭的被害が発生するわけでもないし。（間接的に発生する可能性はある）

— cocoon (@cocoonP) March 29, 2024

「カオナビ」という会社が、#ワークスタイルテック を2023年に買収し子会社にしているのですが上場しているらしく、大変そうです。https://t.co/wqBhRlMGN3

カオナビのセキュリティポリシーhttps://t.co/UCevRVeTRK

IR情報にも今回の漏洩の件が出てます。https://t.co/C9dxF6oWPe https://t.co/oGLXqYwsdN

— たれぞう🐼🐾 (@ta_re_zoh) March 29, 2024

え！
ワークスタイルテック
ISO/IEC 27001とは、情報セキュリティの国際規格であるISMSの要求事項をまとめたものです。ISO/IEC 27001の認証を取得するということは、情報セキュリティ対策の実施内容が第三者監査により適格であると認められたことを示します。 https://t.co/iKjsslcuWx pic.twitter.com/HdraiiGJwC

— 😚Cries Zone🍎 (@CriesZone) March 30, 2024

2/26 ISO27001取得
3/18 カオナビ買収
3/29 大規模情報漏洩発覚

…いや、流石にカオナビさん悲惨すぎない？ https://t.co/Xvs2za6XYx

— Hamakaze (@1105ch) March 29, 2024

★~☆·☆.~同舟*∴*~★