Google Formの編集用URLがオープンだった件ってどういうこと?
Google Formの編集用URLがオープンだった件ってどういうこと?
個人情報流出に関する対応と今後について | ぶいすぽっ!
VTuberオーディションで個人情報漏えいの可能性 氏名、電話、SNSなど約7000件が「閲覧可能な状態」 - ライブドアニュース
【悲報】人気V事務所「ぶいすぽっ!」、マジで洒落にならない事をコレコレにリークされてしまう:キニ速
「ぶいすぽっ!」などオーディションで個人情報流出、対象者には「電話番号変更や引っ越し費用の負担」補償を予定(オタク総研) - Yahoo!ニュース
Googleアカウントでオーディション応募フォームにアクセスすると編集権限が共有される
https://x.com/korekore19/status/1805511714047508865
そんな設定あったっけ?
ちょっと確認してみる
どうやるんだ?
https://gyazo.com/0a0fb1a735ef1345c5813e1206deeb2e
「追加したユーザー」か「url知ってる人全員」しかないけど。。。
「応募フォームにアクセスした人に付与」なんてないけど。。sta.icon
url知っている人全員、でつくった
https://docs.google.com/forms/d/1rqoD_RiurXCeRtKfhsUX_d2_PoJGALSmVBjkmotAyxI/edit?usp=sharing
編集者用リンクつくった
この状態だと誰でも回答は見れる
https://gyazo.com/62474c14cd0e964b5c29898bd67e4e44
追加したユーザーのみ、でつくった
https://gyazo.com/5f7fdfeaec53ebe02cccb08d79bc18a3
だとまあ回答は見えないよね
たぶん「編集用url」が応募フォームのどこかに記載されていた、なのかなぁ?sta.icon
ああ、違う、わかったwsta.icon
「編集用URL」を応募用URLとして公開してしまったんじゃないですか?sta.icon*2
テストしますね
応募用URLはこれ
https://docs.google.com/forms/d/e/1FAIpQLSc8IcuzQ_-xWvaSg4jKqyeB0aga8LMmDPrxbxUWLArQt3AgLg/viewform?usp=sf_link
あるいは短縮すればこうなる: https://forms.gle/VZWtgXhcFiELAVP6A
編集用URLはこれ
https://docs.google.com/forms/d/1szBNr-j-H3JF2WKkWkb_z2gIkBxRizMf6lKwqQV2kFY/edit?usp=sharing
こっちを公開するとヤバいですsta.icon*3
実際アクセスしてみると回答も見えちゃってると思います
※
2024/06/26 17:48:15 試していただけるようにしばらく開放します、時間経ったら消します
2024/06/26 17:50:04 誤って誰かが回答しちゃってそれを別の人が見ちゃったらいけないので回答受付は停止してます
私がテストした1件の回答のみ見えるようになってると思います
https://gyazo.com/7830ca9d26657d1b0749cdf249e5a1b6
2024/06/26 17:53:24 いや、受付停止設定含め誰でも変えられそうなので消しました
なんでこうなった?
紛らわしいんだけど、
通常応募用URLコピーするときはこうなる
https://gyazo.com/376e5acb42c0638d9cd7e1b80d7ff4d4
「回答者リンクをコピー」ボタンからURLをコピペする
だけど、右上のギアアイコンから設定を変えたあとは、こうなる
https://gyazo.com/e218d45ba0015803b60767b8ade96435
https://gyazo.com/a90c099226d702384389ea69cfd7cd2f
この設定を変える(チェック外すとか入れるとか)
https://gyazo.com/39b9cd94c794931d020736e85a3e521e
すると「回答者リンクをコピー」が「編集者のリンクをコピー」になる
たぶんこの「編集者のリンク」をオーディションサイトに載せちゃったんじゃないか?
公式見解を見てみる
個人情報流出に関するお詫びとご報告 - News | 株式会社Brave group
ただし、編集用URLはオーディションサイト上で一般公開されていた状態ではなく、何らかの形で編集用URLが流出した可能性が高いと考えております。
ああ、なるほど、一般公開はしてない、のかな?
コレコレと言ってること違うけど
俺がここまで書いてきたのはコレコレの「アクセスした人が回答者も見えてる状態になってる」がどういうことかを検討してみたよって話sta.icon
追加も出てるね、以下3つの可能性があるとのこと
第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。 ただし、2024/6/25 17:15に確認したところ、当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されませんでした。そのため、この可能性は低いと考えられます。
何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
不正アクセスにより、編集用URLが流出してしまった可能性。
俺の見解はどれでもないsta.icon
改めて書くと「普段どおりに回答者用URLをコピーして掲載したつもりが、実は編集者用URLをコピーしてしまっていた」かな
別の言い方をすると「中の人が間違って編集者用URLを公開しちゃった」説
ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。
いや、この一文を信じるなら、たしかに流出の可能性になるわなsta.icon
これ、Brave Groupに伝えた方がいい?
伝える先はどこ?
個人情報流出に関するお詫びと対応につきまして - News | 株式会社Brave group
ぶいすぽのXとかじゃなくて、Brave Groupの問い合わせ先メアドに送ればいいようだ
送るか迷ってる
余計なお世話かもしれないし、さすがにもう「それくらいわかっとるわ」かもしれないし
下手に送っても運営にそれを見るコストがかかって迷惑かけちゃうので、だったら送らない方がいい
送らないでおくかsta.icon
おまけ: Google Formの是非について
Google Form自体は悪くない
設定ミスっただけ
これを理由に「Google Formやめます」とか「手書きの郵送にします」とかしだしたら最悪
今の時代、ITに頼るのは当たり前なのでこういうムーブしたらザ・無能の証明になる
し、応募者も「え、手書きで送るの……」と敬遠しちゃうだろう、競争力も低下する
対処としてはGoogle Formの仕様ちゃんと把握して(俺がここまでまとめてきたように)、プロセスも整備して、とかかな
応募フォームやオーディションサイトの動作確認をする、とか
テスト項目に「ログインしてないブラウザでアクセスして回答情報が見えないことを確認する」を入れるとか
毎回同じフォーム使い回すと回答者情報溜まっちゃうから違うフォームにするとか
いや毎回同じフォームつかって累計7000人なのか、オーディション1回分で7000人なのかはわからん
改めて整理するか: ぶいすぽっ!オーディション応募者情報漏洩の論点
そもそも用が済んだフォームはデータをDLした後に消すとか(DLしたデータは当然個人情報なので最高機密レベルで厳重に保管)
個人情報もできれば持ちたくないけど、照合(n回目の応募者の識別)とかもあるだろうし捨てるわけにはいかないだろうしなぁ
暗号化とかさらに強くすることもできるけど、運用が複雑になる……