Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メルカリの他利用者情報の誤表示、複数条件揃う必要

メルカリが提供する個人間取引サービスにおいて、関係ない他利用者情報が表示される不具合が発生した問題で、同社は現象が生じる条件について説明した。

同不具合は、ウェブサイト経由で同サービスを利用すると一部利用者において他利用者の情報を閲覧できる状態となったもの。利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなどが含まれる。

同社は、これら対象者について、関係ない第三者へ情報が表示されるには、複数の条件が重なる必要があったと説明。

具体的な条件としては、障害が発生した時間帯において、1時間以内に同一のURLへ別のユーザーがアクセスし、複数あるサーバの中から同一のサーバよりキャッシュされたコンテンツが配信された場合に以前アクセスしたユーザーの情報が表示される状況だった。

また利用者が購入者となる取り引きにおいて、取引相手が前述のケースにあてはまり、匿名配送を利用していなかった場合にも発生するという。

いずれかの条件が揃い、実際に閲覧される可能性は低いとしているが、対象者の数を特定することは困難であるとしている。

同社は、外部からのアクセスやログの監視、配信設定の定期的な検証などを通じて再発防止を目指す。

(Security NEXT - 2017/06/30 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

発表前に関連情報が流出したプレスリリースは871件 - PR TIMESが調査結果
アンケート回答が閲覧可能に - セラピスト向けセミナーサービス
サーバが攻撃の踏み台に、CMS導入ファイル狙われる - 茨大工学部同窓会
ピアノ発表会の申込フォームで個人情報が第三者より閲覧可能に
「Omiai」運営会社の企業サイトで不具合 - 顧客の問い合わせを意図せずキャッシュ
公表資料で個人情報の黒塗り加工に不備 - 岐阜大
水道管調査サイトで一般利用者に管理者IDを誤発行 - 神戸市
セミナー参加者のアンケート回答が閲覧可能に - エムオーテックス
ツール設定ミスで採用関連の個人情報を誤公開 - ソフト開発会社
LINE、プライバシーポリシーを改定 - 移転先国名など記載