B
今週中
東京都の「東京デジタルアカデミー(TDA)ポータルサイト」において、アクセス制御の不備により個人情報が閲覧可能な状態になっていたこと
📌 一言でいうと
東京都の「東京デジタルアカデミー(TDA)ポータルサイト」において、アクセス制御の不備により個人情報が閲覧可能な状態になっていたことが判明しました。影響を受けたのは行政職員最大2,438人および一般住民2人で、氏名、メールアドレス、ハッシュ化されたパスワードが保存されていました。アクセスログの確認により、過去にCSVファイルがダウンロードされていたことが確認されており、現在は設定修正が完了しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🏢影響範囲
東京都(行政職員および一部の住民)
✅該当時の対応
Webアプリケーションの公開前に、権限のないユーザーが機密データ領域にアクセスできないか、アクセス制御リスト(ACL)や認証認可設定の徹底的な検証を行うこと。