プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。
原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。
不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。
このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。
| ITセクション
| セキュリティ
| ニュース
| バグ
| 広告
|
関連ストーリー:
Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる
2019年09月13日
ゲイ向け出会い系アプリ「Jack’d」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる
2019年02月14日
スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた
2018年08月29日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響
2018年06月10日
SCEJ がトルネの視聴ジャンル無断公開に「真摯にお詫び」
2011年11月18日
トルネを含むPS3ゲーム/アプリのトロフィー情報は一般公開されている
2011年11月09日
Googleドキュメントに新たなセキュリティ・ホール
2009年03月28日
Google Docsで非公開の文書が公開されてしまうトラブル発生
2009年03月09日
公開URLの掲載をハックと見なされる
2008年03月11日
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
2006年10月18日
ロイターがURL推測で不正アクセスとして告訴される
2002年10月29日
Source: スラッシュドット
