secu.jp - 個人情報の一部がネット上に流出-大阪府の冠婚葬祭会社(情報元のブックマーク数)

IT セキュリティ

京阪互助センターのホームページで情報が見える状態であったそうです、どうもデータがそのまま見えていた模様

ふつう考えて、ユーザデータ(テキストとか)って、公開ディレクトリに置かないだろ・・・・・一個上のディレクトリに置けよなぁ・・・

大阪府内の冠婚葬祭会社でネット上から個人情報が流出したとの報告があった。流出の発覚は市役所相談センターに寄せられた匿名での情報提供を受けてのことだという。
流出したのは、氏名・電話番号・メールアドレス・問い合わせ内容等の一部80人分の個人情報で、ホームページ上で閲覧可能の状態だったようだ。

http://www.secu.jp/incident-news/1248

当社にて調査したところ、ホームページ上の梅田玉姫殿お問い合わせフォームにご入力いただいたお名前・お電話番号・メールアドレス・お問い合わせ内容等の一部80名様分の個人情報が、閲覧可能の状態になっておりました。

http://www.keihango.co.jp/roei.html

順番がヒドイ!削除って・・・オイオイ・・・、まずサーバ止めてから調査でしょ、、、

○経緯〈事実経過〉
4月21日 午後1時10分:交野市役所相談センター係員より個人情報漏洩の指摘。
4月21日 午後1時30分:Webサーバのデータにアクセスできることが判明(お客様名は全員把握)。
4月21日 午後2時00分:当社から委託業者の担当者へ漏洩事故連絡。
4月21日 午後2時15分:閲覧可能状態にあった情報を洗い出して、問題事項、データファイルを消去。
4月22日 午前10時  :Yahoo・google等への削除依頼。
4月22日 午後2時00分:ホームページ担当業者から事故調査報告あるも下記○発生要因しか現段階では把握できず。
                引き続き原因究明および他のセキュリティホール有無の調査、セキュリティの強化を指示。
4月22日 午後4時00分:当社上部団体(全日本冠婚葬祭互助協会)に報告。
4月22日 午後9時00分:当社ホームページに第一報告知として当文面を掲載。
4月23日 午前10時  :当社関係監督官庁(近畿経済産業局)に報告。

http://www.keihango.co.jp/roei.html

かならず理由はあるので、原因をきちんと追及してほしいところです、.htaccessが不正に塗り替えられた?!とか?!

○発生要因
 Webサーバのシステムの一部が、何らかの原因で開発当初の未完成なシステムの状況に戻り、お客様から登録していただいたデータを蓄積した領域のセキュリティが弱くなったため、インターネットを通じてデータを閲覧できる状態になったものと考えられます。
 また、Webサーバ自体も限られた者だけが管理しており、問題点の認識等が遅れたことも要因と考えられます。

http://www.keihango.co.jp/roei.html

screenshot