バイトルを利用していたアローズコーポレーションの管理アカウントへ不正ログインが発生し個人情報漏洩
2024年5月17日 Dip(ディップ)が、運営する求人情報サイト「バイトル」を利用していた「株式会社アローズコーポレーション」の管理者アカウントへ不正アクセスが発生しアローズコーポレーションの応募者情報の閲覧、外部送信が発生した事を公表しました。
バイトルへの不正アクセス概要
アローズコーポレーションの「バイトル」管理アカウントへ不正アクセスが発生し、
12名の応募者情報、不正ログインに用いたID パスワードを本人を含む応募者に対し
当該管理画面のメール送信機能を利用して送信。
第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業が本アカウントを用いて管理していた応募者の方のうち3,193名の方の応募情報を閲覧した可能性。
バイトルのシステム自体へ不正アクセスが発生しておらず、バイトル全体の応募者情報は漏洩していません。
上記から「バイトル」の管理者アカウントへ、 ブルートフォース攻撃(Brute-force attack)や辞書型攻撃をされた可能性が高く、多要素認証(MFA)や接続元端末の制限、複雑なパスワードの利用がされていなかった事が不正アクセスの原因と考えられます。
漏洩した個人情報
漏洩した個人情報は以下です。なおアローズコーポレーションは、1月に発生した個人情報漏洩インシデントが発生した「サンライズワークス」の関連会社ですので、同じ人間が不正アクセスを行った可能性が高いです。
外部へメール送信された応募者
12名(当該掲載企業に応募した応募者の一部)
・該当する個人情報の項目
氏名、年齢、性別、メールアドレス、電話番号、現在の職業
閲覧された可能性のある個人情報
3,193名(当該掲載企業に応募した応募者の一部)の以下情報
・氏名(よみがなを含む)
・年齢
・生年月日
・性別
・メールアドレス
・電話番号
・現在の職業
・お住まいの都道府県・市区町村
・学歴・職歴
・運転免許の有無・パソコンスキルに関する情報
・自己PR
・連絡可能な日時
・応募日時
・応募した案件の情報