![](https://cdn-ak-scissors.b.st-hatena.com/image/square/8fc06f237300de166555fe76b0b29930593fff26/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fnews%2Farticles%2F2404%2F01%2Fcover_news081.jpg)
エントリーの編集
![loading...](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/common/loading@2x.gif)
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント59件
- 注目コメント
- 新着コメント
![fukuroiri fukuroiri](https://cdn.profile-image.st-hatena.com/users/fukuroiri/profile.png)
fukuroiri
悪夢のような致命的なミス。労務管理のソフトだから社員の機密情報を丸ごと保持している。クラウドであればなおさらセキュリティが重要なのに、ちょっとした設定ミスで契約者の機密情報をネットに公開してしまった。
![koyhoge koyhoge](https://cdn.profile-image.st-hatena.com/users/koyhoge/profile.png)
koyhoge
大規模でヤバい情報の漏洩だが、サービスサイトには何のアナウンスも掲載されていないのが気になる。隠蔽のつもりはないだろうが、大事にしたくない意図は感じる。個別連絡もどこまで信用できるか。
![queeuq queeuq](https://cdn.profile-image.st-hatena.com/users/queeuq/profile.png)
queeuq
本人確認用の身分証明証なら当然に消すか切り離されたストレージ移動してアーカイブだろうが、HRソフトの場合どうなんだろうな。労務がすぐにこの手の証明書を閲覧できる状態に置く必要があるんだろうか。
![ka-ka_xyz ka-ka_xyz](https://cdn.profile-image.st-hatena.com/users/ka-ka_xyz/profile.png)
ka-ka_xyz
仮にこれを受けてマイナンバーを振り直したとして、これまでマイナカード券面コピーを送ったすべてのとこに新しい番号を再送しないとだめなの?あるいは向こう側で自動更新してくれる仕組みが何かあるの?
![manotch manotch](https://cdn.profile-image.st-hatena.com/users/manotch/profile.png)
manotch
氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけて
![prograti prograti](https://cdn.profile-image.st-hatena.com/users/prograti/profile.png)
prograti
URL直指定で画像ファイルがダウンロード出来た感じかな?普通こういうファイルは間にプログラムを挟んで認証・認可を行いますが、もしそうでないなら設計が良くないですね。あくまで想像にすぎませんが
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
![アプリのスクリーンショット](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/entry/app-screenshot.png)
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
第三者が個人情報15万人分ダウンロード 労務管理クラウド「WelcomeHR」で漏えい マイナカードや免許証の画像も
カオナビ子会社のワークスタイルテック︵東京都港区︶は3月29日、同社の労務管理クラウドサービス﹁Welc...
カオナビ子会社のワークスタイルテック︵東京都港区︶は3月29日、同社の労務管理クラウドサービス﹁WelcomeHR﹂について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書︵マイナンバーカード、運転免許証、パスポートなど︶や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 ﹁本来 ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能
2024/04/01 リンク