Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メルカリの他利用者情報の誤表示、複数条件揃う必要

メルカリが提供する個人間取引サービスにおいて、関係ない他利用者情報が表示される不具合が発生した問題で、同社は現象が生じる条件について説明した。

同不具合は、ウェブサイト経由で同サービスを利用すると一部利用者において他利用者の情報を閲覧できる状態となったもの。利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなどが含まれる。

同社は、これら対象者について、関係ない第三者へ情報が表示されるには、複数の条件が重なる必要があったと説明。

具体的な条件としては、障害が発生した時間帯において、1時間以内に同一のURLへ別のユーザーがアクセスし、複数あるサーバの中から同一のサーバよりキャッシュされたコンテンツが配信された場合に以前アクセスしたユーザーの情報が表示される状況だった。

また利用者が購入者となる取り引きにおいて、取引相手が前述のケースにあてはまり、匿名配送を利用していなかった場合にも発生するという。

いずれかの条件が揃い、実際に閲覧される可能性は低いとしているが、対象者の数を特定することは困難であるとしている。

同社は、外部からのアクセスやログの監視、配信設定の定期的な検証などを通じて再発防止を目指す。

(Security NEXT - 2017/06/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

複数の教委公開文書で個人情報の墨塗り処理にミス - 大阪市
個人情報を誤ってサイトで公開、墨塗りミスなど - 三田市
タクシーポイントサービスで提供先以外から会員情報が閲覧可能に
市営駐輪場のウェブ申請に不具合、他人の身分証明書が閲覧可能に - 浦安市
Find Job!で一部求職者情報が外部よりアクセス可能な状態に
スマホ向けゲームでユーザー位置情報などが外部から閲覧可能に
入試情報サイトで個人情報が閲覧可能に - 京都精華大
図書館のウェブサーバから個人情報流出の可能性 - 島根大
音楽教室の顧客情報がネット上に流出 - 宮地楽器
人事採用管理システムのバックアップが外部から閲覧可能に - パーソルキャリア