時系列
2005年頃にオレンジ工房および系列会社が、データアップロード用の掲示板を設置
フリーCGIをお粗末な改造でセキュリティなどないまま使用、個人情報だだ漏れ状態だった
また、その改造の仕方を見るにオレンジ工房自身データが誰にでも見える状態を認識していた様子がある
※カンプリに関しては2003年分から、他系列会社は開設当初からの流出が確認されている
↓
2009年9月30日
友人Aのデータが見られることに気づいた人Bが、オレンジ工房に指摘
ところが、工房側は「しばらく改善は無理」との返事
↓
2009年10月3日朝9時頃
Bから連絡を受けたAが2chのDTP板にあったオレンジ工房のスレに書き込む
↓
オレンジ工房と系列会社の情報漏洩の実態が判明、大騒ぎに
↓
オレンジ工房および系列会社利用者が次々と会社に問い合わせるも
「担当者がいなくてわかりません」の返事
↓
2009年10月3日15時40分頃
CGIがようやく停止、404状態に
↓
オレンジ工房はサイトに「メンテナス中」とアナウンス、カンプリにいたっては
サイトにあったデータアップロードの手順説明を削除しただけ
↓
しかし、漏洩したデータの削除などの対策がされていないことが判明
これについてオレンジ工房は今以ってだんまり
↓
土日が終わり月曜になってようやく
謝罪文があげられるが内容については不鮮明な説明しかしておらず、最初から公開掲示板を使っていたことには触れずアップロードサーバーという単語を使用(オレンジ工房及び系列会社でweb入稿に使われていたのは公開アップロード掲示板の改造でセキュリティ対策などは最初から一切されていません)
↓
メールや電話などの返答の報告があるも現状メールではすぐに返事がこない状態。また返信がきてもあなたのデータの漏洩はありませんでしたなどといまだに漏洩状況を理解できていない様子のメールが返って来る(web入稿をしたデータは全て公開される状態にありました)漏洩した情報の削除をしようという動きはあったようだが知識不足によるものか成果は出ず。有志の行動でようやく削除が確認されはじめる
情報漏洩が発覚した発端の書き込み
906 :氏名トルツメ :2009/10/03(土) 09:30:49
ここ蜜柑工房のスレで合ってるよね?
こないだここにウェブ入稿したんだけど
おととい『蜜柑から○○さん(自分)の個人情報が漏れてたよ』と友達からメールがきた
ウェブ入稿の画面でhtmlソースを開いたら
過去のウェブ入稿者のTEL番やサークル名が残ってたそうだ
しかも友達はすぐ蜜柑に指摘したのにしばらくは改善対応できませんというような返事がきたそうで
あそこは怖いからもう使わない方がいいよと知らせてくれた
メールをもらって昨日見た時点では自分の名前がなかったけど
今も確かに他の人たちのTEL番らしき番号や
本名っぽいファイル名の圧縮ファイルが載りまくってる…漏れっぱじゃねーかorz
友達には今回どこの印刷所に入れたかなんて当然話してなかったから
自分のもあそこにだだ漏れだったんだろうかと思うとぞっとするorz
932 :スペースNo.な-74 :2009/10/03(土) 18:59:20
こっちでいいのかな?
最初に被害投下した者です
すごい大事になってるorzので、ここのことは伏せて指摘した友達に詳しく聞いてみた
電話だから記憶あやふやなところもあるかもしれない…
- 9/30の朝、営業時間前なので件名『緊急』でメール
- 原稿はファイル転送サービスで送って、これで対応してほしいと書いたらしい
- 昼頃になってもまだ漏れっぱだったので電話して確かめる
- 「後から担当者に連絡させるつもりだった」「入稿は受け付けました」との返事
- 改善したあとで連絡でも来るんだろうと思って待ってたらしいけど
「しばらく変えるのは無理だから今度入稿するならCD-ROMで送って」っていうメールが来ただけ
- 次の日になって○○さん(自分)の分は消えてたけど、また新たに漏れっぱなしの人が増えてたらしい
- これはやばい会社だと思い、被害者の○○さん(自分)に思い切って連絡した
自分が入稿したのは9/30よりも前orz
その友達には謝罪の言葉もまったくなかったんだって…
流出の当事者じゃなかったからなのかもしれないけどありえねえだろorz
934 :スペースNo.な-74 :2009/10/03(土) 19:01:25
932だけど読みづらくてごめんorz
あと、自分の時にどれくらいの量が漏れてたかって聞いたら
「はっきり覚えてないけど20人くらいはあったかも」って言ってた
10件とは限らないらしいぞorz
最終更新:2009年10月07日 20:33
