日頃よりOtellをご利用いただき、誠にありがとうございます。
このたび、Otellにおいてサイトの脆弱性についてユーザーから報告を受け、内部で確認を行ったところ、特定の知識がある第三者がユーザー情報を閲覧する機能を経由して特定の項目が閲覧できることが発覚しました。それに対する調査ならびに対応を公表します。
過去本件による個人情報漏えいがあったか調査を行いましたが、アクセスログから判別することは困難であり、個人情報漏えいの事実を確認することができませんでした。
脆弱性に関しては既に対応が完了しており、現時点での被害報告はございません。
(2021年9月24日追記)1回目お知らせした内容をもとに第三者機関と共に調査をいたしましたので、報告書にて更新内容を追記しております。情報提供をしてくださった第三者より、その第三者が取得しうる可能性を示唆したユーザの内部一意IDを用い、技術的に細工が施された特殊なURLを生成することでユーザーに成り済ますことができる可能性のある箇所につきまして追加報告があり、その点を修正いたしました。尚、現時点で、知り得た情報を用いた事による被害は確認されておりません。
前回の報告時点で、すでに情報を取得した第三者を想定した脆弱性についての対応が完了できていなかった点につきまして、深くお詫び申し上げます。また、事象の確認から皆様へのご報告が遅れてしまったことにつきましても重ねてお詫び申し上げます。
なお、今回の公表以降にOtellからユーザーに対して個人情報を聞き出す、パスワード等の変更を要求するなどの個別連絡は一切致しません。Otellになりすました連絡にはご対応されませんようご注意ください。
このたびはユーザーや関係者の皆様に多大なるご迷惑とご心配をおかけする事態となり、心よりお詫び申し上げます。今後は再発防止の対策を徹底してまいります。今回の経緯と内容、および今後の対策につきましては下記の報告書をご確認ください。
本件に関するお問い合わせ先
info@otell.jp