会社で使っている某Webサービスを触っていたところ、気づいたのです。 このWebサービスのAPI、認証がかかってないので個人情報を取り放題だと。 正直なところ自分が開発や運用に関わっているサービスでもないので面倒くさいことに巻き込まれたくはないです。登録セキスペに重課金するのを止めた身からすれば改善の協力をする義務も無いですし。でも、放置して「実は以前から知ってました」ということがバレたら色々疑われるじゃないですか。個人だったらまだいいんですけど、会社で使っていたサービスなので放置するのもリスクが大きいと考えました。自社の情報どころか自分の個人情報が漏れる可能性もありますし。 ということで、IPA(独立行政法人情報処理推進機構)に「脆弱性関連情報の届出」をすることにしました。 この記事は、Webサービスの脆弱性を見つけたときはこういう窓口があるよという紹介になります。 IPAの脆弱性関連情