【サイボウズ】「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題で [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解
https://www.itmedia.co.jp/news/articles/2104/27/news162.html
2021年04月27日 23時43分 公開
東京都福祉保健局が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズは4月27日、kintone自体に不具合や脆弱性はないと発表した。
同局は、医療従事者向けワクチン予約サイトのシステムの一部に、業務アプリ作成サービスであるキントーンを採用している。サイボウズによると、都の予約サイトはキントーンと別会社のシステムを相互にAPI接続する形で構成。このうち、キントーンでは医療従事者27万人の個人情報と、予約者情報を保管していたという。入力フォームの情報とキントーン上の登録情報が合致すれば予約できる仕組みだ。
サイボウズは問題の原因について「キントーンではなく、受け付けフォームとワクチンの摂取資格確認プロセスに関する不具合だ」としている。
都のワクチン予約サイトでは、26日の受付開始直後にアクセスが集中し、つながりにくい状態にもなっていた。これについてもサイボウズは「キントーンへデータが入る前の段階で発生していたと認識している」として、キントーン由来の問題ではないとする見解を示した。
(略)
関連リンク
プレスリリース
https://topics.cybozu.co.jp/news/2021/04/27-9001.html
※省略していますので全文はソース元を参照して下さい。
※関連スレ
東京のワクチン接種予約システム停止 登録者約27万人分の個人情報が閲覧可能で [ばーど★]
https://asahi.5ch.net/test/read.cgi/newsplus/1619506507/
【話題】 「全然つながらない」 東京都の医療従事者向けコロナワクチン予約サイトにアクセス殺到、不安定に [影のたけし軍団★]
https://asahi.5ch.net/test/read.cgi/newsplus/1619423557/ 個人情報を差し出して
ワクチンすら受けられないとか
もはやコントだなwwwwwww そこはしっかりキントーンの契約書に謳って有るだろうから、サイボウズはダイジョウブ CMが意味不明過ぎて毎回イラッとくる
乗り心地は?
どクラウドです!
は? キントーンはバックエンドのシステムに過ぎないのに、いいとばっちりだな。 普通の会社ならeラーニング入れてるはず
サイボウズ使わない会社なんてあんの? >>24
普通の会社なら自社のIT部門とか、グループのIT会社使うぞ どこ請け負ったのかと思ったらサイボウズだったんかw >>27
弊社グループのIT企業は、全てを右から左に受け流すことしかしてないのですが… IT戦士ってここの会社に勤めてたよな?
まだ在籍してんの? セキュリティなども含めたトータルソリューションを提供できないサイボウズといわれても仕方ないな。 まぁそら押し付けられたらたまんねえよな
早めに否定しとかないと 勢いだけでやってます
30年前のインターネッツビジネスモデル 今までが情報抜いて当然だったから、こんなものなんだろうね 頑張るな日本、どクラウドです
この会社のセンスがわからん
なんかうざいし使わないようにしようと思う 300円の饅頭を万引きした看護婦が逮捕されるんだから
25万件の情報流出は逮捕して禁固刑だろ
この国はワザと情報犯罪を見逃して他国のスパイに好き勝手させているのか お役所が絡んでるなら悪いのはお役所やろ ポンコツしかいないからな 企業にとっては死活問題で存続を左右しかねない根幹部分だから
しっかり究明し説明する必要が出来ちまったな
企業にとっては余計な手間を強いられ兼ねないから
対応が本当大変だろうな >>1
顧客に責任をなすりつけるやり方って長期的に見るとマイナスな気がするけど >>30
引き受けといて「ウチは悪くない!!」とか 20年以上前からこの会社知っているけど、打ち出す広告がことごとくはずしている。
代理店はどこ使ってるんだろうか。 >>24
e-ラーニングの音声合成って少しは良くなった?
>>63
深見東州と同じとこじゃない? サイボウズの社長ウザいからkintoneの不具合にしとこう 今、本来業務の片手間にいろんなAPIで遊んでるけど
ハッカーの手にかかれば、けっこうユルユルだろうなという作り多いよ。
まあまあな対策構成は、POSTで認証情報を送って
返ってきたトークンを付加して、様々なリクエストをPOSTで行う方式。
いちばんやべえのは、認証キーをそのままGETパラメーターで付加して
すべてのリクエストが通るやつ。 どんなに良く出来たシステムでも、無能が使うと事故と混乱を引き起こす >>25
そこはみんなわかってんのよ。
問題はどクラウドがどういう状態なのか、、、。
よくこれで企画通ったなって見てて毎回思うよ。 >>54
こういう問題は技術的に白黒つけないとダメ
技術力が疑われたらそれこそ業績に直結する 最近もあったじゃん
Trelloのデータ全公開して採用情報垂れ流しになってたやつ
あれと同じような問題ちゃうん? サイボウズって胡散臭いところだっけ
なんか使いづらい変なツール作っているよね >>75
それは相手を指定して限定的に公開設定しなきゃいけなかったのを全公開にしてたって話
結局のところウェブAPIにはトークンでなく認証キーを要求してた
キーのやり取りは平文
ご丁寧に認証キーを持って入ってきたユーザーは特権付与と誤認する
で、なにもかも見えてしまうというオチ >>24
ガルーンとかプラットホームは他にもたくさんある ああ、夫婦別姓を執拗に唱えていたあのサイボウズですか ■ このスレッドは過去ログ倉庫に格納されています