「Trelloで個人情報漏洩」に関する件
こんばんは。Rakuten LInkの続きの話に関しては、次回書く予定にしています。
今回はTrelloでのお漏らしについて書いてみることにします。
こちらは日経xtechの記事からです。
今回の事例は、お漏らしした企業等名が漏れたわけではなく、Trelloに書かれていた内容である就活や転職等で面接した人の情報が漏れてしまったという点です。一時期、Googleで検索すると、生々しい情報がヒットしました。これは漏れてしまった情報の当事者的にはもらい事故もいいところですね。
今回、なぜこんな事故が起きたのか?というのは、Trelloの設定を「公開」にしていたことによるということのようです。デフォルトは「非公開」になっていますが、それをわざわざ「公開」にして使用していたことについて、様々な憶測があります。
・「非公開」では誰も見られないと考えたのではないか説
ありそうな話ですね。ならば、せめて「チーム」に設定すれば良さそうなものですが、そうならなかったのが謎ですね。逆に「『公開』にすれば大丈夫だろう」という判断だったのではないでしょうか。
・「公開」だと余計な手間をかけずに共有出来ると考えた説
情報共有の際、特定のユーザーだけでやり取りするのにログインしないといけないのが面倒だから、URLを伝えるだけで誰でも見られるように「公開」でいいやと考えたのかもしれないと邪推しました。どうなんでしょうか?実際のところ。
・実は何も考えていなかった説
これもありそうな気はしています。シャドーITが職場内に蔓延していた説もありそうです。
Trello側としては、正しい設定に変更するようにアナウンスしています。セキュリティ関係のサイトでも設定変更を行うように呼び掛けています。心配なのは、やらかしてしまった組織のTrello利用者に届くかどうか、正しい設定に変更してくれるかどうかという点も心配ではあります。
もっと怖いのは二次被害
問題はこれですね。この点の懸念について、以下のサイトに記述されています。ITmediaの記事からです。
ですので、今一度設定を見直して、「公開」にはしないようにしましょう。<(_ _)>