https://vspo.jp/news/news20240625-2/
https://i.imgur.com/2nqNoTe.jpeg
https://i.imgur.com/Pvr1zr3.jpeg
chatgpt翻譯
根據最近（2024/6/25 22:00）由「ぶいすぽっ！」官方帳號公佈的消息更新，我們在此通
知目前的情況。我們深刻道歉，對於受影響者、相關方面以及一直支持「ぶいすぽっ！」的
粉絲們帶來的擔憂。
根據我們的調查，我們發現在我們集團使用的Google雲端服務「Google Drive」上，關於「
ぶいすぽっ！JP オーディション」的申請者Google表單的回答內容，已經可以被第三方通
過該表單的「編輯用URL」進行查看，這一情況於2024/6/25 17:15確認。
然而，需要指出的是，這些編輯用URL並非在官方的面向公眾的オーディション網站上公開
。我們認為這些URL可能是以某種方式外洩的。我們目前正在進行訪問歷史記錄的調查，同
時也無法排除其他集團內的其他信息在同一途徑泄露的可能性。由於存在有意的泄露或非法
訪問的可能性，我們將持續謹慎進行調查。
我們深知應該儘快向受影響者道歉並聯絡的重要性，但由於上述情況，請您稍等片刻。
此外，由於這起事件的調查，我們認為在集團內的其他公司也可能發生類似的信息外洩，我
們將同步進行謹慎調查。更多詳情請參考以下連結：
https://www.bravegroup.co.jp/news/6359/
我們將盡快採取必要措施應對此事。有關通知和聯絡方式，我們將統一由我們的母公司株式
会社Brave group進行通知和聯絡。
希望您能理解，並感謝您的耐心等待。

這是有內鬼的意思?

怎麼看起來像BG裡面有人外洩表單= =

內部機密居然沒開特定使用者才能瀏覽的權限..

一旦跟西岸扯上關係就沒有能全身而退的

但是基本上啥都沒講 重點就URL流出導致能查看

所以看起來不是單純的自爆耶

這隨便一個人把連結丟出去就炸了 外洩者甚至不用留下閱覽紀錄

沒擋權限直接開連結就是偷懶啊

有內鬼 關門 放狗

感覺就內部人員有出問題 不然表單好好的沒事也不會改權限

是個員工都能看的意思 所以抓不出來是誰洩漏

團滅

就那種連結給了就會看到，沒給連結就不知道

柯南bgm

大概沒有給員工google企業版帳號 所以文件也沒辦法預設成

這資安思維很失敗 後續很艱辛了

我怎記得之前也有類似的事件

公告發了 但像是沒發

未來幾年內各大企業勢的新人 可能會在活動過程中飽受這份表單帶來的困擾 真是苦了這些從業者與受害者

問就是內鬼在搞

這狀況很多..aws s3之前也預設全公開 爬蟲有機會爬到

有問題吧 正常要限定使用者==

我也記得這種東西你企業版本是預設關閉的吧?

有可能google doc預設有編輯用url 但沒預設非公開

Google表單更改閱覽權限不是會通知所有共用者嗎

這根本大家直接隨便看 根本不用流出

或著有資安小白以為沒人知道url就不會被hack就隨便設定

你非公開還是外流阿，url跑出去了

流出（X）直接開放（O）

照他寫法看起來是只要知道url的就能看

就跟你youtube影片設定非公開一樣，只要有網址就能看

這下精彩了 BG這下光這案子要解決都不知要花費少資源

只是影片本身不會被放在推送頁面

恩 然後不知道誰直接把這網只給出去了

沒擋權限就會被爬蟲爬到 但資安小白可能就不知道

他意思就是權限設成有URL就能看 然後URL不知道被誰外流 超白癡

九日那個是不是也是這樣

應該補一個BG 那個連結，是說可能不只vspo 同一天底下有其他也發現被編輯可能有外洩的可能性

這種就企業負責資料的使用者習慣會決定資料安全程度

日本資安 瓦拉瓦拉

如果krkr講一週前有通知是真的 那Vspo這週都沒查嗎

會用google表單徵才的公司= =

一家公司把徵才資訊放到骨狗文件 恩...我以為是團購捏

google表單權限 只有作者和給協作者權限或全公開 沒有所謂給連結才能看 表單給連結能看就是設定成全公開

九日那個應該是駭客，這個字裡行間感覺在暗示內鬼

可能kr有講，但他們看一看覺得沒問題

超級白癡

全部怪罪日企文化也不夠全面吧 尤其該行業首當重視資安意識

是 我說白名單就是給協作者權限

放google文件還好 但企業版可以限定只有同公司能看吧

全公司都這樣處理也太鬼故事了吧==

用google不是問題 資安太爛還是把頂級金鑰外流

省錢用免費版還給連結就無解了

你在協作權限狀態點進去 會有申請帳號送出通知然後作者會接收到 過了才點德進去

BG底下的都出事耶，還有說到確認6/18就有人來信反應

BG整個都有這個狀況 這樣是BG的人把URL外洩了吧

除非是有內鬼去改成全公開+流出網址

這種分享對管理人很偷懶 不用在那邊被通知要追加名單

資 安 鬼 故 事 人家說要變第三大箱的事務所

不然子公司的人 能去動到母公司其他旗下公司的權限?

6/18那個不會就是kr吧，剛好一週前，笑死

不然單純流出RUL這件事是永遠存在的風險，就算是無意

這邊擺明是BG問題 只是VSPO個資最多才一堆人集火打

才一萬多 小事情啦

很像某國人喜歡玩的盒攻擊

看起來就是回報給母公司等處理 不過連個別限定使用者都沒也太天兵…

看了一下,齁也是用google表單報名的,所以用google不是甚麼大問題

要嘛懶，要嘛負責的人完全沒概念

DM了一周沒發現 等KRKR爆出來才知道 笑死

用估狗從來不是問題 是你設定權限的概念

他這不就是爆料出來了才知道出問題了

雖然文內沒指名不過有說今天PO文的一位是在之前有反應

本來就不是用google的問題啊...

一定有人拿有權限的帳號 偷偷亂搞才會這樣 不然表單製作好 沒事也不會去設定全公開的權限

brave groups承認一周前的確有收到推特簡訊通報，說因為這個通報方式在他們處理上造成了延誤

三小 還能推給通報的喔

照公告的寫法，其中6/25通報的人應該是krkr

你們怎麼不用OOO來通報 害我們處理慢了^^

是說如果他們以前都這樣處理 現在才出事也很神奇

業務擴充,人力沒跟上就容易出這種包吧

出包的是BG集團，VSPO只是用同一個系統BG官網公布的那一篇比較詳細

推特延誤其實偏容易，但要看他們推特是不是每天上百訊息

加起來上萬件洩露

推特沒有追隨 可能會被設置在垃圾訊息區內

看起就是負責關的以為沒什麼關了就close掉對應 要慘了

推特18日有接收到 說沒及時反應 就當垃圾流言了吧

不過限定url外流的話的確有可能是內鬼，但不限定人員就是天兵了

因為BG非上市，不知道正社員多少但是BG這兩年招的新人，比虹更多…因為BG這兩年吸引及開了很多新團

熟悉的BG回來了

一周前6/18有人私訊提醒 今天才確認到私訊存在 嗯...

這鍋可大條了，掉的可是人資

集團擴充太快,但管理體制沒跟上吧,還是用小公司的做事方式,都是方便就好

這種包我只能說 夕鶴

有內鬼外流URL 再亂傳啊

超雷，聽說這是第３大箱？

就算不是內鬼還是有可能外流阿，誰知道哪個員工會腦抽把連結貼錯地方

一開始就不應該把連結開出來吼

也不說外流 你一開始就白名單模式就沒這問題啊

我覺得這也不是單純白名單問題了 這內部管理都有問題只用連結就算只給員工看也很雷

有連結就能上就等於公開了啊

幹這蠢到連當鬼故事都沒資格所以一星期前就有通知警告是真的嗎

公司說有人用推特訊息告訴他們，但沒被處理

我在想如果用一些比較特殊的搜尋引擎是不是透過內文關鍵字就可以搜到這種只要連結就能看的表單？

內部管控問題 連結換成是檔案也還是會外流

不可能搜到 谷歌也是每個網站都有先碰過才能建立起index 要能搜到的話要嘛爬蟲到要嘛外洩擴散了

出這包有點誇了吧==

表單是被改成全公開 這邏輯上一定是內部的問題

感覺有內鬼

資安鬼故事