Brave groupは、運営する「ぶいすぽっ!」などのオーディションにおける個人情報流出に関する調査結果を発表しました。
◆オーディションの回答が第三者にも閲覧できる状況に
この流出は、同グループにおける一部のオーディション応募用Google Formsの編集用URLが、リンクを知っていれば誰でも閲覧できる設定にしてしまっていたことで、個人情報などを閲覧できる状況にあったとのこと。ただし、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありません。
また、2024年6月4日前後からGoogle Formsの予告・通知のない仕様変更により、回答用URLから編集用URLを特定可能となる手法が存在していた可能性が高いとし、該当フォームの閲覧制限を行った2024年6月25日までの間に、意図していない外部の第三者が閲覧できる状況にあったと報告しています。
外部機関によるアクセスログの調査によると、以前の報告にもあった以下4つのオーディションがこの影響を受けたとのこと。
「ぶいすぽっ!JP オーディション」
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む)
「HareVare VLiverオーディション」
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms
今回の流出に際し、Google Workspaceで権限を制限付きに変更することや、個人情報を含むオーディションをGoogle Formsではない外部のサービスへ変更することを検討するなどの対策を講じるとしています。中断されていたオーディションの募集は、今後順次再開される見込みです。
