メルカリWeb版で個人情報が他人から見られる状態に、銀行口座情報など約5万4000名が被害
発表資料 画像(4枚)

発表資料

株式会社メルカリは22日、Web版のメルカリにおいて、一部ユーザーの名前や銀行口座、クレジットカードの下4桁と有効期限、出品履歴などの個人情報が他者から閲覧できる状態だったと発表した。

 

本件は、6月22日にパフォーマンス改善のためキャッシュサーバーの切り替えを行った所、他人のデータが閲覧できるというユーザーからの問い合わせで発覚。

問い合わせの内容は、「マイページをクリックしたら他人のアカウントのページが表示された」というもので、特にハッキング的な行動をしないでも自然と他人の個人情報が見えてしまう状態だった。

 

原因は、本来キャッシュされるべきでない情報が、メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ側にキャッシュされてしまい、それで他のユーザーの情報が表示されることになった。

 

時系列的には9時41分にキャッシュサーバーの切り替えを行い、15時5分にキャッシュサーバーの切り替えを中止し、従来の設定へ戻すまでの約5時間に問題が発生していたが、その間にメルカリWeb版にアクセスしたユーザー5万4180人が他人の個人情報を閲覧した可能性がある。

 

その詳細は、「名前・住所・メールアドレス・電話番号」へのアクセス459名、「銀行口座情報、クレジットカードの下4桁と有効期限」へのアクセス1855名、「購入・出品履歴」へのアクセス22458名、「ポイント・売上金、お知らせ、やることリスト」へのアクセス53816名となっている。

 

既に問題は解決し、再発防止策も立てられているが、メルカリでは本件について「深くお詫び申し上げます」と謝罪している。

 

発表資料

URL:http://tech.mercari.com/entry/2017/06/22/204500

2017/06/23


編集部おすすめ