第三者が労務管理クラウドから個人情報15万人分ダウンロード。マイナカードや免許証の画像も [279771991]

[0001 (東京都)(東京都) [GB] 2024/04/01(月) 23:05:06.33 ID:BI7X7I5N0]

カオナビ子会社のワークスタイルテック（東京都港区）は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。
16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。

2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像が閲覧可能だった。
情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。

「本来　ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能な状態となっていた。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能になっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚した」（同社）

事態が発覚したのは3月22日。セキュリティ調査を実施していたところ、アクセス権限の設定ミスが見つかったという。第三者による情報のダウンロードは28日に分かった。
すでに設定は修正済み。情報が漏えいした事業者には別途個別に連絡する。今後は社員教育の徹底やサーバ監視の強化により再発を防ぐとしている。

https://www.itmedia.co.jp/news/articles/2404/01/news081.html