Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メルカリの他利用者情報の誤表示、複数条件揃う必要

メルカリが提供する個人間取引サービスにおいて、関係ない他利用者情報が表示される不具合が発生した問題で、同社は現象が生じる条件について説明した。

同不具合は、ウェブサイト経由で同サービスを利用すると一部利用者において他利用者の情報を閲覧できる状態となったもの。利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなどが含まれる。

同社は、これら対象者について、関係ない第三者へ情報が表示されるには、複数の条件が重なる必要があったと説明。

具体的な条件としては、障害が発生した時間帯において、1時間以内に同一のURLへ別のユーザーがアクセスし、複数あるサーバの中から同一のサーバよりキャッシュされたコンテンツが配信された場合に以前アクセスしたユーザーの情報が表示される状況だった。

また利用者が購入者となる取り引きにおいて、取引相手が前述のケースにあてはまり、匿名配送を利用していなかった場合にも発生するという。

いずれかの条件が揃い、実際に閲覧される可能性は低いとしているが、対象者の数を特定することは困難であるとしている。

同社は、外部からのアクセスやログの監視、配信設定の定期的な検証などを通じて再発防止を目指す。

(Security NEXT - 2017/06/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

黒塗りした個人情報が特定操作で閲覧可能 - 大船渡市
「WordPress 5.4.2」がリリース - 複数脆弱性を修正
「雇用調整助成金」システムの不具合 - ブラウザ「戻るボタン」で意図せぬ表示に
OSINTツールを期間限定で無償提供 - マキナレコード
新コロ拡大防止協力金の申請者情報が閲覧できる不具合 - 新潟県
アダルト動画サービスで視聴履歴など流出 - CDN利用で不具合
ユーザーの収益情報など外部から閲覧可能に - 動画サービス運営会社
ネットワークカメラ向けアプリに認証不備の脆弱性
アンケート回答が閲覧可能に - クラウドファンディング事業者
一部「note pro」利用者情報が閲覧可能に - Googleフォームの設定ミスで