事故から学ぶ
2024/03/26
応募QRコードから応募者の個人情報が閲覧可能に
事故概要
| 業種 | スポーツクラブ |
| 発生時期 | 2024/3/22 |
| 漏えい人数 | 未発表 |
| 事故概要 | サッカークラブで、チラシに掲載したQRコードのアクセス先より個人情報が閲覧できる状態だったことを明らかになった。 同クラブによれば、小中学生を対象としたホーム開幕戦の招待チラシに掲載した、応募用QRコードのアクセス先から応募者の個人情報が閲覧できる状態となっていたもの。 同クラブでは、QRコードアクセス先からの募集を停止した。 |
| 引用元 | sequrity next |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
QRコードリンク先の応募フォームの設定ミス。
テストの項目不足か実施不足
チェックリストにある要求ルール:
個人情報が公開表示されないか、場面を変えて複数回確認する。
■ 推奨対策
対策:
テストの合格基準再検討
手抜きテストの防止(2名並走テスト)
具体例:
個人情報が誤表示されないか確認するのは、開発者とは別のPCを用いて、開発者とは別の人がおこなうこと。
テストはシステム要員以外の社員、関係者がおこなうこと。
タグ
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
