Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メルカリの他利用者情報の誤表示、複数条件揃う必要

メルカリが提供する個人間取引サービスにおいて、関係ない他利用者情報が表示される不具合が発生した問題で、同社は現象が生じる条件について説明した。

同不具合は、ウェブサイト経由で同サービスを利用すると一部利用者において他利用者の情報を閲覧できる状態となったもの。利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなどが含まれる。

同社は、これら対象者について、関係ない第三者へ情報が表示されるには、複数の条件が重なる必要があったと説明。

具体的な条件としては、障害が発生した時間帯において、1時間以内に同一のURLへ別のユーザーがアクセスし、複数あるサーバの中から同一のサーバよりキャッシュされたコンテンツが配信された場合に以前アクセスしたユーザーの情報が表示される状況だった。

また利用者が購入者となる取り引きにおいて、取引相手が前述のケースにあてはまり、匿名配送を利用していなかった場合にも発生するという。

いずれかの条件が揃い、実際に閲覧される可能性は低いとしているが、対象者の数を特定することは困難であるとしている。

同社は、外部からのアクセスやログの監視、配信設定の定期的な検証などを通じて再発防止を目指す。

(Security NEXT - 2017/06/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

保守契約顧客向けメールで誤送信、メアド2250件流出 - 日本オーチス
一部フランチャイズ店舗の顧客情報がネット上で閲覧可能に - モスバーガー
会員の個人情報がネット上で閲覧可能に - 輸入家電販売サイト
個人情報含む資料を学生が持ち去り放置 - 明石高専
個人情報含む町議会資料を3カ月にわたり公開 - 東浦町
観戦会参加者の個人情報が閲覧可能に、申込フォームが公開設定 - 大分トリニータ
誤送信で学生のメールアドレスが流出 - 東京音大
一部商品購入者の個人情報が閲覧可能に - テニス関連サイト
一部サービスでパスワードの正誤関係なく認証可能に - NTTPC
複数の教委公開文書で個人情報の墨塗り処理にミス - 大阪市