2024年6月26日、セキュリティコンテスト「SECCON(Security Contest)」を運営するSECCON実行委員会において、個人情報が第三者から閲覧可能な状態が確認された。
情報流出は同委員会が主催するイベント「CTF for Girls」において発生しており、予選会の申込サイトで申込者情報が閲覧可能な状態になっていたというもの。
6月19日、外部からの指摘により発覚している。
被害対象は予選会申込サイトを利用した26名分の個人情報で、氏名、メールアドレス、チーム名、住所、年齢などが含まれていた。
原因は、Googleフォームのアクセス権限設定のミスで、「リンクを知っている全員」に編集権限が設定されていたため、申込者の個人情報が第三者から閲覧可能な状態となっていたと説明されている。
公表時点で個人情報が不正に使用された事実は確認されていない。
今後の再発防止策として、Googleフォームの権限設定を厳格化し、関係者間でのアクセス許可を適切に管理することを徹底。
また、フォーム作成時には都度、設定の確認を行うとのこと。
【参考記事】
https://www.jnsa.org/