Re: [Vtub] VSPO對個資流出事件的報告
https://www.bravegroup.co.jp/news/6359/
BG的官方稿
---
可能洩漏投稿數:
Vspo:約7000件
Brave group:約2610件
HareVare VLiver:約1043件
洩漏內容有姓名、縣市(有些誤填具體地址)、電話、生日、SNS和入社動機等
---
洩漏經過:
編輯用表單連結的檢視和編輯範圍為「知道此連結者均可檢視」
但填寫報名和可檢視內容的表單連結不是同一個,因此可檢視個人資料的連結並未在填寫報名的頁面上公開
根據此事件推測,能夠訪問編輯用連結的可能性有三種,目前正調查中:
1.第三方請求授權被允許了
-> 但今天進行確認時並未看到有外人獲得編輯許可的紀錄
2.公司內部洩漏編輯用連結給其他人
3.透過非法途徑取得編輯用連結
---
事件確定經過:
經過調查發現在6/18 11:23、6/25 16:28,有兩位人士發現上述問題而去私訊Vspo推特
但由於是用推特私訊所以被延誤處理,直到今天17:01收到另一位人士的詢問後
該事件已在推特成為話題,於今日17:15才確認該事件及上述兩次詢問的存在
---
大概翻了一下,有稍微精簡一下說法
看起來整個BG旗下公司的報名表單都是用同一個方式運作
然後的確在事件爆發前幾天有兩個人曾和Vspo官方提起此事
但因為是在推特私訊而被延遲(處理)
依據BG的解釋可能是有內鬼或被用特殊方法取得到編輯用表單連結
--
這些資料有流到網路上嗎?
Brave Group 應該有錢賠吧w
是有多覽 編輯用的也不搞白名單
沒事 給bg扛
沒鎖權限網路上就是裸奔 尤其google aws這種一直有爬蟲
這樣整個就上萬件了耶 所以2或3都還是有洩漏個資的可
能性
事件最大贏家是青桐學園嗎?
最大贏家應該是krkr
沒買google企業版帳號吧
貪圖方便沒權限設白名單 公司機密遲早被爬走 不用內鬼
刺激囉上萬件
起因可能很蠢,不過網址怎麼流出去的就通靈不到了
員工A:我這邊需要應徵者資料,那個表單檔傳給我
員工B:在雲端上,怎麼存下來啊
員工A:就下載啊...算了你開分享給我載吧
員工B:開好了,網址給你(開到全公開)
員工A:謝了(然後忘了提醒權限要關掉)
樓上柯南
KRKR這樣看起來不就像是句句屬實了嗎?
樓上那個還真的是很有
姓名、住址、電話、生日 完蛋
洩漏地址跟SNS都有 投職小V有精障粉拿到 是真的會出事耶
從公告就知道這公司資安真的不行 給時間準備還發這種稿
BG又炸開了
下次成員開台就有瘋子要問栃木縣出身的中島OO是不是有來
就職了
krkr看起來是最後一個問的 表示拿到情報直接公開?XD
krkr說一星期前有通知vspo但沒反應
我是覺得那三個人都是krkr
衝萬塔 何其壯觀
我剛剛用個人帳號試只有2個選項 白名單或全公開
從小編層層上報到高層一周可能不夠(′・ω・`)
正常都要用白名單吧
這種洩漏範圍,起碼幾千人要準備搬家了吧?
或者要賠到解散了
大概有員工懶得一個一個加白名單 以為url不會被猜到XD
看公告這樣寫大概公司大部分的人都不知道錯在哪
要促成小V搬家潮了吧 一個資安炸彈炸出從業者大遷徙的奇
觀
對 BG 這樣寫就是他們全部drive文件都是網址公開狀態
他公告這樣寫看起來很像一直都是這麼作的
對啦傳內容方便 傳 給 誰 都 方 便
以這行的從業性質來說 這可以說是有史以來最大包了...
其他家的包頂多自家垮掉
也要有url 才能到那個畫面 代表內部人員外流
就內鬼阿
這包性質不同啊 是可以被告的東西
真的有V因為這個洩漏出事的話...
最近才拿到三井跟朝日的注資,剛好拿來賠
如果他們一直以來都用這種方式處理 我不覺得只有這1萬
筆外流而已
這種網站一直有爬蟲 你url被猜到遲早的事
覺得只要url沒公開就沒人知道就代表你跟這公司一樣
雷到爆,第3大箱準備賠錢賠到解散了嗎?
出包的是集團,要賠也是集團賠,最慘把svpo賣掉
真是災難……
發生的時間有3個禮拜耶….太恐怖了
himehina不知道有沒有被影響到QQ
打錯 vspo
我覺得爬蟲爬出來的可能性偏低==
內鬼流出的機率高多了
7000人搬家大風吹
推特小編要被處理掉了吧?私訊都不檢查是吧
最後面那段就是說18日在官方X有收到兩個人的DM但公司確
認很慢所以無作為,直到25日時曾經DM過的兩人當中的其
中一位在X上面po出事情狀況然後公司才發現事情大條,所
以KRKR沒有說謊而且還有提前講沒有直接爆料,這下GG了
賣掉也不錯吧 誰知道會不會再被搞一次
aws檔案服務s3以前預設公開 爬蟲出事太多次後來便不公開
只用推特DM基本上就來搞的 那東西垃圾訊息超多
沒看到你的錯 但是會用這個通知也沒存什麼好心拉...
用DM通知你就是故意的吧 我有通知你 但是用DM 你沒翻垃
圾桶不是我的問題
內容也太詳細
老實講用推特DM真的沒啥意義
那種就是挖坑給你跳 有record但是這東西87%沒人會看
修了下內文
※ 編輯: kerycheng (114.36.217.92 臺灣), 06/25/2024 22:22:52那不然要怎麼通知,來個好點的方法,公司會理的
官方有聯絡窗口阿
賣不賣怎麼賠都其次 搞得行業的人材儲備瞬間全裸 姓名地
址出生年月SNS全洩露出去了怎麼搞 這些人怎麼辦
VSPO網站就有聯絡方式了
什麼是官方聯絡窗口,你可以確定公司會理的
官網不就有email...我有寄過email回很快 dm真的要等幾天
呃,現在是要檢討通知的人了嗎
你自己公司什麼窗口聯絡你自己去看看阿
不是檢討 只是一副我有通知了但對方不理 但這個通知方式
基本上就是email或者電話
會不會其實有其它人通知,公司也沒看
就很容易被系統丟到垃圾桶去
他都敢這樣寫了大概就是檢查過官方聯絡管道了
不是檢討通知的人 是用這個說有通知沒人理 所以爆料就
DM不是一個很好的聯絡管道就是因為太多垃圾訊息
來搞的
DM絕對也不是什麼好方式啦 不過跟那個智障包比起來...
看資訊應該是名字跟電話
KRKR講那話就是 "我有用(接近垃圾訊息)跟你講了"
你講的好像義正嚴詞 其實你就來搞的
我覺得BG的處理方式 被搞剛好啦
無論大家是不是討厭KR都跟他們出這大包無關
甚至他沒有通知 也沒他關係
他們出大包是無庸置疑的
這不代表BG這包有任何甩的餘地
我去找了一下vspo官網,官方聯絡窗口信箱有點難找(?
被人爆料才公告 他們可不是今天才發現權限有問題
但我只是要說 不要拿有丟DM當作活該有回應
點了好幾個網頁才找到信箱聯絡
KR:我都用兩種方式跟你說你出包了,怪我囉
右上角一個大大的Contact你說很難找
表單都懶的設白名單的公司怎還期望會有人力去看DM
https://i.imgur.com/MaEmb0X.png 真的很難找...?
我是指「聯絡信箱」
聯絡是真的會去看啦
那個不就是直接寄去他們的信箱嗎...
那個是類似棉花糖的東西吧?怎麼會寄到信箱去
我都用推特Dm或是上面那邊聯絡,官網聯絡沒假日通常2
-3天內,推特我等最久是四天
寄了信別人又不見得會理你,說不定也是寄垃圾信箱
.......... 你覺得這樣的文字遊戲很有趣 太可愛了
有特別設這種聯絡的官網 還特地找信箱幹嘛
那比較接近公司網站所謂的問題回應窗口
不過KRKR說他一周前通知沒理他 但表單權限有改回來耶
內部有人知道出事了但是當沒事嗎..
沒理他的意思是沒有回覆給他說已經有處理吧
但事情本身是有修改的,只是沒有宣布這件事
之前詢問二創,就算官網有二創連結,他們還是會用信
件再貼一次二創規範給你然後告訴我沒違反就能使用之
類
就是出事當沒事 爆料出來才發聲明吧
可是BG公告說"今日17:15才確認該事件及上述兩次詢問存在"
我覺得也沒有修改 是krkr自己搞錯最初的洩漏方式
不過你貼的這個,他有寫到回信時間大約一週左右(?
krkr後來講說"被改成有連結才能看到" 其實本來就這樣
https://i.imgur.com/vhnztya.jpeg 推特Dm話去年還是
上面說的2-3天收到回應
喔喔 那就是KRKR搞錯洩漏方式
Contact就客服系統吧 理論上每個ticket都要被處理
當然罐頭回覆也是一種ticket結案的方式
官網聯絡話,信件都是被我手賤都清空XDD 但基本上也
是會ail
mail,不管是不是罐頭都會回就是
日本IT鬼故事再添一樁
那就是真的沒處理過了 又沒看到更改權限 那就內鬼啦
誰經手誰拿過更難查了
重點是要怎麼面對受害者,對爆料者、抓內鬼不太care
這些受害者未來投其他企業可辛苦了 公司可不見得願意冒
更大的風險與公關成本去錄用人材
不過大家這樣講 台灣也一堆企業直接可以外網連進去
還是上市櫃的 資安也是堪憂
會不會有那種在知名大箱想跳槽投了履歷結果因為這次
被抖出來的
這陣子搬家公司會忙到靠北,可以搞到一堆人搬家真的很天
投其他企業為什麼辛苦 說的好像這份名單現在google都
找的到一樣.....
這個從業性質應該考慮更多吧 影響層面是行業的人才儲備
好雷
這個狀況本來就要當做已經全面流出了啊,難不成這1萬多個
我看他是寫填地區 填錯的人才會填地址
要換門號的可能比較多
流出資料能保證誰沒完整名單嗎?
唯恐天下不亂就免了
說的是其他企業勢 容我修正 造成誤會抱歉
問題是現在爆料就不是直接把名單爆出來 你不說有投vsp
o有誰會知道
這樣子講好了,官方被反應(推特DM)的時間點是6/18,那在
6/18以前是不是早就洩漏出去了?
有可能
事情鬧得這麼大 就算有名單的也不太敢亂做什麼行動吧
BG的公告有寫最早可能洩漏的時間是6/4晚上七點
哦,原來更早之前哦?那不就表示官方超過半個月時間名單
全外流了
人家又沒義務通知
沒連結也很難流出去啦 你也很難說是何時開始 谷歌記錄
看不到這麼細 不知道谷歌企業諮詢能否調記錄就是
怪krkr只是轉移焦點和責任 連結不知被幾人知道才爆料
要不是krkr出來爆料 恐怕會有更多無辜者受害吧
可能早有人備份好 才讓krkr知道 原點是BG的資安漏洞
順藤摸瓜抓出來 找上游跟來源啊 KR也是有人爆料給
他的吧
krkr爆料是為了要流量,不過krkr沒爆的話,BG公司要多久
才能察覺又是問題點了
kr的資料來源或是說bg內鬼 八成全部備份了 kr拿到都不知
第幾手了
如果要陰謀論一點 如果他們表單以前就這樣處理 那可能
從以前就開始洩漏了
我能理解V圈甚至整個八卦圈對於仇恨KR的在先
但這件事情從頭到尾沒有他 洩漏的包一樣沒得甩
他用啥方式 他幾日通知他通知幾次 他通知來要流量
還真的一點關係都沒
拉kr出來只是要分擔砲火,不然這個包本來就是BG要扛的
說他來搞的和公司出大包 也是一點關係都沒
我說實際 這件事只是因為google表單沒設白名單看起來
很蠢而已
某些人:公司出大包,你怎麼可以說出來?你說通知過了?那種方
式根本故意來搞的,垃圾人
除非公司本身有特別保密這些資訊 不然誰知道從以前到
現在有沒有資料外流過
一萬件是有紀錄的,之前之後沒人敢保證
拉krkr出來就是為了轉移視線而已
敏感資料不做白名單真的很敢耶
講白一點 KR也沒有義務通知BG 他又不領BG薪水
應該是內部的包拉 只是是不是故意的內鬼那就不一定了
正確來說非BG公司及其相關企業的人發現了也沒義務通知
有人肯通知就要感恩了好嗎,還想檢討用啥方式通知?
你爽就好了
前面竟然在檢討通知的人 快笑死 BG粉喔
不一定 可能只是恨KR這種透過負面消息洗聲量的
現在只怕哪個旗下V牙起來畢業 女性最重視的個資隱私被母
公司當便當菜單一樣隨便傳 這些打槍g的女漢子不牙起來拍
桌才怪= =
通知用推特私訊怎麼了?還不存好心哦?
是欠你VSPO還是領你VSPO薪水嗎?
BG出大包先怪樂子人怎麼不好好通知BG 真假
只能說BG還是那個BG 還是沒變
準備被告死了 幾萬件個人資訊流出
這些v跑都來不及了真的會去告嗎 以日本日的個性
KR都能捧成神 呵
以日本人的個性
如果krkr真的要搞的話~他可以召集有報名甄選的人集體訴訟
~應該會很可觀吧
沒有捧喔 只是這件事情怪KR沒先用正確方式通知就很沒道理
搞錯重點了吧,krkr告知的時間點事情早就爆發了,他
不是第一個發現的,他有沒有通報傷害都已經造成,差
別只在有沒有透過krkr讓眾人知道
所以不管krkr有沒有用所謂「正確」方式通報對事情影
響都不大
不就有人預設6/18那個推特DM可能也是kr嗎
當然他自己的盤算就是另一回事,想用已經通報過是你
不重視來塑造形象也是有可能
6/18 6/25各一人私訊,那不就代表6/25之前
VSPO都是無知狀態,有人要對人不對事我沒意見
那除了Kerr的另一人咧,也是不安好心是吧?
*KRKR
官方公告都承認可能洩密時間都要拉到6/4了,就算618跟625
如果你搞不懂這兩種的差別 那也沒什麼好說的
可能都是kr好了,那618以前VSPO幹啥吃的?
問BG囉,看起來像BG那邊的人捅的婁子,不然為什麼BG
那邊也洩漏了,VSPO的員工只是子公司的員工,沒理由
碰的到母公司其他事業的業務內容
拉到6/4號 有沒有可能是表單是那個時候開的
還有人敢投這家嗎?
拉到6/4是他們推測從那時候就開始外流,但他們到6/18跟6/25
才被人通知後發現
21天就七千人應徵怎麼想都不可能
所以6/18以前他們不是幹什麼吃的,是什麼都沒幹
DM是給VSPO的啊,所以VSPO的推特小編沒檢查DM不算問題嗎?
可是如果表單之前就開那為什麼是6/4號開始算
你用過推特DM就知道,沒追隨的大部分都會跑去垃圾箱
裡,小編不太可能去檢查垃圾箱的內容,會沒收到還算
表單一直都有 6/4連結流出 不難懂吧
合理,只是快一個月自己都沒發現...
我知道啊 我的問題是連結流出只會看到流出日期後的資
料嗎
對不起我可能太孤狼了,沒啥人DM,有DM都會跳通知也不是
分到垃圾箱裡
應該是檢查紀錄最早發現是6/4開始有外部人士瀏覽吧
我的推特DM被丟到請求那邊的倒是一大堆,特別現在推
特又一堆掛藍勾勾的BOT
喔 抱歉 我誤解官網的意思了
他是指發生期間可能是6/4號開始 我誤解成6/4號後的資
料才流出
怎麼辦
那份表單從2021年開始記錄的樣子 所以應該大多數都中了
青桐:還好我退了
EN正要登場之際來這一齣 慘
祖國IT
自己出包怪別人搞 笑死
一個V箱的推特DM怎麼可能每一篇都看 瘋了嗎...真的要聯絡
一定找得到業務用聯絡信箱或聯絡方式的
所以連以前報名的都中喔 那不是超大條的嗎
alan3100 還真嗆啊 哈
google線上文件用起來很方便,不懂控制權限炸起來也很精
彩
我aws用戶 看s3進化再進化一堆提醒別不小心公開 很有感
這表單看應該不只近期的,而是過去到現在的應徵名單
都在上面
據公告那表單只需填入都道府縣 但有個別人士當地址在填
所以地址也在這次事件暴露的應該不是多數
如果是企業的google可以直接設定只有這個企業才看得到
現在是在抱怨好心通知的人連官方管道都不會用嗎?
自己出包怪別人沒通知到位也太奇葩了吧
推特私訊是有什麼問題嗎?話說基本都洩漏光了,住址
電話
爆
[Vtub] BG和VSPO對個資流出事件的後續報告6/26お知らせ 2024.06.26 先日、ぶいすぽっ!公式アカウントより告知した「個人情報流出に関するお詫びとご報9
[情報] VSPO八雲べに及CR戰隊炎上事件懶人包內容如題,先說本人沒有接觸瓦羅然,是從APEX入坑VSPO,與CR的瓦羅然選手也不熟悉,故CR選手部分若有需要請自行補充,本篇會以VSPO!為主視角 【主要關鍵字】 。VSPO!:主打女子電競的Vtuber企業,旗下成員皆為女性FPS玩家,以下稱VSPO 。Crazy Raccoon:日本FPS電競戰隊,旗下有多部門,瓦羅然是其中之一,以下簡稱CR 。おじじ:CR戰隊老闆和實際營運者6
[閒聊] 興大附農校友管樂團招募中大家好~我們是興大附農校友管樂團! 雖然說樂團團員主要是由以前高中管樂社的校友們所組成的, 但其實陣中還是不乏許多非校友的管樂愛好人士, 也絕對不用擔心來了會很寂寞尷尬唷! 樂團大家都很好相處的!4
Re: [Vtub] BG和VSPO對個資流出事件的後續報告6/26剛剛BG又發了新公告,然後不意外網站又炸了,炸了快一小時才好 ChatGPT翻譯: 以下是針對2024年6月25日我們報告的有關我們集團運營的徵選活動中個人信息泄露的通 知和注意事項。2
[網宣] BizPro 2020 春季招募BizPro 2020 春季招募即將進入倒數階段,距離表單截止僅剩3天囉! 請於 02/07(五) 前填寫完報名表單: BizPro 為一個由多元台大學生所組成的商業研究社團,我們正在尋找能夠一同成長的伙 伴加入!BizPro 的成員是一群具備獨立思考、團隊合作並尋求持續成長的人,期待能 # 透過商業方法解決未知問題,在各種不同的舞台發揮天賦、熱情並帶來正向改變,我們齊1
[分享] 113年台閩介聘表單分享歡迎參與113年臺閩介聘的老師,至下方連結處填寫113年介聘表單,先預祝各位 成功介聘,有填有保佑 學前教育階段表單填寫處 幼兒園普通教育類:
38
[閒聊] 與變成了異世界美少女的大叔一起冒險(30
[推薦] 趁棒球熱的時候來偷推薦《失憶投捕》28
[問題] 大蔥鴨憑什麼當神奇寶貝29
[蔚藍] 哇幹 蕾絲內衣莉央27
[BGD] 為什麼買狗CP是愛爽配==38
[劍星] 欸不是 金變態 可以這樣的嗎20
[閒聊] 寶石之國第一季YT免費看21
[閒聊] 12點了 誠實說有對Biboo起色心嗎?27
[閒聊] 美國富翁:想要我的財寶嗎?那就去尋找吧20
[閒聊] 偶大劇場版開大招了14
[閒聊] 為什麼RO可以出這麼多版?13
[討論] 投摔鬼憑什麼當神奇寶貝?13
[閒聊] 福山潤 生日倒數生放送24
[閒聊] 教育傲慢義弟的義姊57
[雀魂] 透! 透! 透!27
[百合] 戀人不行 捉i10
[閒聊] 星際寶貝史迪奇 前導預告9
[Vtub] 打棒球的Ina19
[Vtub] 甘結もか VSPO社內快打同樂(?)會40
[閒聊] 為什麼MyGO歷久不衰17
[閒聊] 索尼會怎麼防止黃牛?9
Re: [情報] 這本輕小說真厲害 歷年男女角前3/2025作品10
Re: [問題] 帝國是誰的問題大? 幼女戰記雷8
[已解答] 找一本女主長ㄐㄐ的漫畫8
[Holo] 跟Miko同房時 房間內的IQ下降得很厲害呀8
[百合] 奴隸12
[閒聊] 我對你忠心耿耿...然後就被幹掉的角色8
[蔚藍] 剛起床的全身赤裸陽奈8
[閒聊] 獵人 蟻王和小麥22
[骨折] 自殺突擊隊百元豪華版現在僅售5美元