この度、スペース設定の「ユーザーの編集」機能で、編集されたユーザーが管理者の意図しないプロジェクトに追加される不具合が発生しました。

不具合の発生期間中に該当の機能でユーザーを編集した管理者には不具合発生のご報告と必要な対応をお願いするメールをすでにお送りしています。

なお、本不具合は2022年7月12日(火) 17時41分の時点でプログラムの修正が完了しています。

併せて、ユーザーのデータ保護の観点から、2022年7月15日(金) 14時16分に意図せず追加された可能性のあるユーザーをプロジェクトから削除しています。

不具合の概要

スペース設定の「ユーザーの編集」機能で、管理者が任意のユーザーを編集すると、「管理者が所属しているチームが参加しているプロジェクト」に編集されたユーザーが追加されてしまう。

発生期間

2022年7月7日(木) 14時00分 〜 2022年7月12日(火) 17時41分

原因

2022年7月7日(木)にリリースしたプログラムに不具合が含まれていました。

(2022年7月19日(火) 追記)

原因1. ユーザーの編集画面のプログラム改修時に「編集されたユーザー」が参加しているチームの情報を用いるべきところで、誤って「編集している管理者」が参加しているチームの情報を用いてしまいました。

原因2. 本来であれば「原因1」のような不具合はテストで検知されるべきでしたが、実施されたテストの検査項目に今回の不具合の発生条件が不足していたため、検知できませんでした。

経過報告

2022年7月07日(木)

    14:00 不具合の原因となるプログラムを含んだバージョンをリリース

2022年7月11日(月)

    15:37 お客様からメールで不具合のご報告

2022年7月12日(火)

    10:37  不具合の状況を運用チームが認識、原因調査を開始

    17:41 原因となった不具合の修正とリリースが完了

2022年7月14日(木)

    17:07 該当の機能でユーザーを編集した管理者にメールにて報告

2022年7月15日(金)

    14:16 該当の機能で意図せず追加された疑いのあるユーザーをプロジェクトから削除

    16:41 削除対応したスペースの管理者にメールにて報告
    (※利用言語を日本語に設定しているユーザー)

    18:31 削除対応したスペースの管理者にメールにて報告
    (※利用言語を英語に設定しているユーザー)

2022年7月16日(土)

    18:48 7月15日に送信したメールで内容が途切れた管理者に再送
    (※利用言語を日本語に設定しているユーザー)

2022年7月19日(火)

    14:42 7月15日に送信したメールで内容が途切れた管理者に再送
    (※利用言語を英語に設定しているユーザー)

    16:14 今回発生した障害について、対象となったスペース内の全ての管理者にメールにて報告
    (※利用言語を日本語に設定しているユーザー)

2022年7月20日(水)

     12:35 今回発生した障害について、対象となったスペース内の全ての管理者にメールにて報告
    (※利用言語を英語に設定しているユーザー)

 

発生条件

対象のプラン

• プラチナプラン
• プレミアムプラン
• スタンダードプラン
• スタータープラン
• フリープラン

※各クラシックプランは対象ではありません

不具合の影響を受けたユーザー

スペース設定の「ユーザーの編集」において、内容に関わらず編集をされたユーザー

※APIからの操作やユーザーの追加、プロジェクトにユーザーを追加する場合は対象外

お客様のデータへの影響

ユーザーが意図しないプロジェクトに追加されていた場合、そのユーザーが追加されたプロジェクトの情報を閲覧・編集できる状態でした。

また、弊社による削除対応の際に、管理者が意図して追加したユーザーもプロジェクトから削除されている可能性があります。

ヌーラボでの削除対応

不具合の発生期間中にスペース設定の「ユーザーの編集」が行われたスペースに対して、同期間にプロジェクトに参加したユーザーをプロジェクトから削除しました。

プロジェクトに関するメールへの影響(2022/7/19追記)

ユーザーが本不具合の対象となったプロジェクトに追加されたことにより、メールの受信設定に準じてメールが送信されておりました。これにより、意図しないユーザーにBacklogからメールが送信された可能性があります。

メールが送信された可能性のある期間

2022年7月7日(木) 14時00分 〜 2022年7月15日(金) 14時16分

(不具合によりユーザーが追加されてから、ユーザーの削除まで)

メールが送信されたユーザー

2022年7月7日(木) 14時00分 〜 2022年7月15日(金) 14時16分の間に、スペース設定の「ユーザーの編集」において、メール設定 > メールを受信する チェックボックスが有効だったユーザー

メールに含まれる内容

• 課題のタイトルと本文
• 課題のコメント
• Wikiのタイトルと本文
• Subversion/Gitのコミットメッセージ/ファイル名

再発防止策(2022/7/19追記)

原因1.についての再発防止策

• プログラムで取り扱う情報がどのような情報なのかを開発者が明確に識別でき、その情報を誤用しないように、プログラム内でユーザーの情報を表す名称を変更します。
• ユーザーの編集画面以外でも情報が誤用されていないか検査します。

 

原因2.についての再発防止策

• 同種の問題の再発を未然に防ぐための自動テストの拡充、本不具合の発生条件もカバーしたテストシナリオの作成と恒常的なテストを行います。

 

また、上記の再発防止策に加え、問題が発生した場合の影響を最小限にするための対策を検討して参ります。

管理者の皆様へ

この度は弊社の不手際により多大なご迷惑とご心配をおかけしておりますこと、改めてお詫び申し上げます。

現時点で、お客様が今回の不具合の影響について個別にお知らせするメールを受け取っていないようであれば、お客様の管理するスペースは今回の不具合の影響はございません。

今後はこのような不具合が生じぬよう、再発防止に向けて品質の改善に取り組んで参ります。

 問い合わせ先

本件についてご質問やご不明点がございましたら お問い合わせよりご連絡ください。

https://backlog.com/ja/contact/

今後とも Backlog をよろしくお願いいたします。