ドコモのおもらし事件に引き続き、エン転職がWeb履歴書まるごと漏洩事件を起こした模様です。
漏洩が発覚したのは、2000年から現在までにエン転職に登録したユーザーのうち、255,765名分のWeb履歴書(退会者は除く)。不正ログインが確認された期間は、2023年3月20日~3月27日。
(中略)
なお、現時点でエン転職への不正ログインによる履歴書をはじめとする情報の改ざんは確認されていない。同様に、求職者様以外の企業側の管理画面への不正ログインや情報の改ざん、エン転職以外の同社サービスでの、同様の不正ログインも確認されていない。
これはひどい。小学校から?か分かりませんが、少なくとも高校以降ぐらいはすべてまるごと漏洩へ。
情報をお漏らしされた人は、「おれおれ、***小学校と@@@中学校が同じだった、
同級生の加藤だけど覚えてる?今度地域の合同同窓会があるんだけど、くる?」
という迷惑電話に悩まされることになるでしょう。行ったらマルチ商品の販売説明会だった、
なんてこともありそう。
これ結構影響大きいかも。被害に巻き込まれた人、ご愁傷様です。
なんでこんなに流出事故が多いんでしょうね。
企業に潜り込んだ敵国の傭兵が動いてる。という表に出ない事実はさておき、
不正ログインだか知らんが、企業にはプライバシー保護なんて概念は微塵もないのね。
企業にとっては流出しても所詮他人事だろうが、利用者にとっては一大事だろう。
もう終わりだ よこの国。
不正ログインってことはSQLインジェクション? まともなサービスだったらWAF入れてるだろうし、そもそもSQLインジェクションなんてエスケープするのが20年くらい前から常識だと思うんだけど。。
リスト型の攻撃らしい。
つまりパスワード使いまわしてたやつが狙われた
なるほど。ただ、リスト型攻撃についてもWAFのレートベースルールを適用してれば送信元IPを自動でブラックリスト登録できたのにな。。
管理人なんてすぐ交代させるからまともに管理する筋もないんだよな