https://vspo.jp/news/news20240625-2/
https://i.imgur.com/2nqNoTe.jpeg
https://i.imgur.com/Pvr1zr3.jpeg
chatgpt翻译
根据最近（2024/6/25 22:00）由“ぶいすぽっ！”官方帐号公布的消息更新，我们在此通
知目前的情况。我们深刻道歉，对于受影响者、相关方面以及一直支持“ぶいすぽっ！”的
粉丝们带来的担忧。
根据我们的调查，我们发现在我们集团使用的Google云端服务“Google Drive”上，关于“
ぶいすぽっ！JP オーディション”的申请者Google表单的回答内容，已经可以被第三方通
过该表单的“编辑用URL”进行查看，这一情况于2024/6/25 17:15确认。
然而，需要指出的是，这些编辑用URL并非在官方的面向公众的オーディション网站上公开
。我们认为这些URL可能是以某种方式外泄的。我们目前正在进行访问历史记录的调查，同
时也无法排除其他集团内的其他信息在同一途径泄露的可能性。由于存在有意的泄露或非法
访问的可能性，我们将持续谨慎进行调查。
我们深知应该尽快向受影响者道歉并联络的重要性，但由于上述情况，请您稍等片刻。
此外，由于这起事件的调查，我们认为在集团内的其他公司也可能发生类似的信息外泄，我
们将同步进行谨慎调查。更多详情请参考以下连结：
https://www.bravegroup.co.jp/news/6359/
我们将尽快采取必要措施应对此事。有关通知和联络方式，我们将统一由我们的母公司株式
会社Brave group进行通知和联络。
希望您能理解，并感谢您的耐心等待。

这是有内鬼的意思?

怎么看起来像BG里面有人外泄表单= =

内部机密居然没开特定使用者才能浏览的权限..

一旦跟西岸扯上关系就没有能全身而退的

但是基本上啥都没讲 重点就URL流出导致能查看

所以看起来不是单纯的自爆耶

这随便一个人把连结丢出去就炸了 外泄者甚至不用留下阅览纪录

没挡权限直接开连结就是偷懒啊

有内鬼 关门 放狗

感觉就内部人员有出问题 不然表单好好的没事也不会改权限

是个员工都能看的意思 所以抓不出来是谁泄漏

团灭

就那种连结给了就会看到，没给连结就不知道

柯南bgm

大概没有给员工google企业版帐号 所以文件也没办法默认成

这资安思维很失败 后续很艰辛了

我怎记得之前也有类似的事件

公告发了 但像是没发

未来几年内各大企业势的新人 可能会在活动过程中饱受这份表单带来的困扰 真是苦了这些从业者与受害者

问就是内鬼在搞

这状况很多..aws s3之前也默认全公开 爬虫有机会爬到

有问题吧 正常要限定使用者==

我也记得这种东西你企业版本是默认关闭的吧?

有可能google doc默认有编辑用url 但没默认非公开

Google表单更改阅览权限不是会通知所有共用者吗

这根本大家直接随便看 根本不用流出

或著有资安小白以为没人知道url就不会被hack就随便设定

你非公开还是外流阿，url跑出去了

流出（X）直接开放（O）

照他写法看起来是只要知道url的就能看

就跟你youtube影片设定非公开一样，只要有网址就能看

这下精彩了 BG这下光这案子要解决都不知要花费少资源

只是影片本身不会被放在推送页面

恩 然后不知道谁直接把这网只给出去了

没挡权限就会被爬虫爬到 但资安小白可能就不知道

他意思就是权限设成有URL就能看 然后URL不知道被谁外流 超白痴

九日那个是不是也是这样

应该补一个BG 那个连结，是说可能不只vspo 同一天底下有其他也发现被编辑可能有外泄的可能性

这种就企业负责资料的使用者习惯会决定资料安全程度

日本资安 瓦拉瓦拉

如果krkr讲一周前有通知是真的 那Vspo这周都没查吗

会用google表单征才的公司= =

一家公司把征才资讯放到骨狗文件 恩...我以为是团购捏

google表单权限 只有作者和给协作者权限或全公开 没有所谓给连结才能看 表单给连结能看就是设定成全公开

九日那个应该是骇客，这个字里行间感觉在暗示内鬼

可能kr有讲，但他们看一看觉得没问题

超级白痴

全部怪罪日企文化也不够全面吧 尤其该行业首当重视资安意识

是 我说白名单就是给协作者权限

放google文件还好 但企业版可以限定只有同公司能看吧

全公司都这样处理也太鬼故事了吧==

用google不是问题 资安太烂还是把顶级金钥外流

省钱用免费版还给连结就无解了

你在协作权限状态点进去 会有申请帐号送出通知然后作者会接收到 过了才点德进去

BG底下的都出事耶，还有说到确认6/18就有人来信反应

BG整个都有这个状况 这样是BG的人把URL外泄了吧

除非是有内鬼去改成全公开+流出网址

这种分享对管理人很偷懒 不用在那边被通知要追加名单

资 安 鬼 故 事 人家说要变第三大箱的事务所

不然子公司的人 能去动到母公司其他旗下公司的权限?

6/18那个不会就是kr吧，刚好一周前，笑死

不然单纯流出RUL这件事是永远存在的风险，就算是无意

这边摆明是BG问题 只是VSPO个资最多才一堆人集火打

才一万多 小事情啦

很像某国人喜欢玩的盒攻击

看起来就是回报给母公司等处理 不过连个别限定使用者都没也太天兵…

看了一下,齁也是用google表单报名的,所以用google不是什么大问题

要嘛懒，要嘛负责的人完全没概念

DM了一周没发现 等KRKR爆出来才知道 笑死

用估狗从来不是问题 是你设定权限的概念

他这不就是爆料出来了才知道出问题了

虽然文内没指名不过有说今天PO文的一位是在之前有反应

本来就不是用google的问题啊...

一定有人拿有权限的帐号 偷偷乱搞才会这样 不然表单制作好 没事也不会去设定全公开的权限

brave groups承认一周前的确有收到推特短信通报，说因为这个通报方式在他们处理上造成了延误

三小 还能推给通报的喔

照公告的写法，其中6/25通报的人应该是krkr

你们怎么不用OOO来通报 害我们处理慢了^^

是说如果他们以前都这样处理 现在才出事也很神奇

业务扩充,人力没跟上就容易出这种包吧

出包的是BG集团，VSPO只是用同一个系统BG官网公布的那一篇比较详细

推特延误其实偏容易，但要看他们推特是不是每天上百讯息

加起来上万件泄露

推特没有追随 可能会被设置在垃圾讯息区内

看起就是负责关的以为没什么关了就close掉对应 要惨了

推特18日有接收到 说没及时反应 就当垃圾流言了吧

不过限定url外流的话的确有可能是内鬼，但不限定人员就是天兵了

因为BG非上市，不知道正社员多少但是BG这两年招的新人，比虹更多…因为BG这两年吸引及开了很多新团

熟悉的BG回来了

一周前6/18有人私讯提醒 今天才确认到私讯存在 嗯...

这锅可大条了，掉的可是人资

集团扩充太快,但管理体制没跟上吧,还是用小公司的做事方式,都是方便就好

这种包我只能说 夕鹤

有内鬼外流URL 再乱传啊

超雷，听说这是第３大箱？

就算不是内鬼还是有可能外流阿，谁知道哪个员工会脑抽把连结贴错地方

一开始就不应该把连结开出来吼

也不说外流 你一开始就白名单模式就没这问题啊

我觉得这也不是单纯白名单问题了 这内部管理都有问题只用连结就算只给员工看也很雷

有连结就能上就等于公开了啊

干这蠢到连当鬼故事都没资格所以一星期前就有通知警告是真的吗

公司说有人用推特讯息告诉他们，但没被处理

我在想如果用一些比较特殊的搜寻引擎是不是透过内文关键字就可以搜到这种只要连结就能看的表单？

内部管控问题 连结换成是档案也还是会外流

不可能搜到 谷歌也是每个网站都有先碰过才能建立起index 要能搜到的话要嘛爬虫到要嘛外泄扩散了

出这包有点夸了吧==

表单是被改成全公开 这逻辑上一定是内部的问题

感觉有内鬼

资安鬼故事