メルカリの他利用者情報の誤表示、複数条件揃う必要

メルカリが提供する個人間取引サービスにおいて、関係ない他利用者情報が表示される不具合が発生した問題で、同社は現象が生じる条件について説明した。

同不具合は、ウェブサイト経由で同サービスを利用すると一部利用者において他利用者の情報を閲覧できる状態となったもの。利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなどが含まれる。

同社は、これら対象者について、関係ない第三者へ情報が表示されるには、複数の条件が重なる必要があったと説明。

具体的な条件としては、障害が発生した時間帯において、1時間以内に同一のURLへ別のユーザーがアクセスし、複数あるサーバの中から同一のサーバよりキャッシュされたコンテンツが配信された場合に以前アクセスしたユーザーの情報が表示される状況だった。

また利用者が購入者となる取り引きにおいて、取引相手が前述のケースにあてはまり、匿名配送を利用していなかった場合にも発生するという。

いずれかの条件が揃い、実際に閲覧される可能性は低いとしているが、対象者の数を特定することは困難であるとしている。

同社は、外部からのアクセスやログの監視、配信設定の定期的な検証などを通じて再発防止を目指す。

（Security NEXT - 2017/06/30 ） ツイート

PR

関連記事

健康ポイント参加者宛の案内メールで誤送信 - 鏡野町
個人情報が閲覧可能に、システムメンテ時の不備で - メルセデス・ベンツ日本
学修システムに誤設定、仮保存の個人情報が閲覧可能に - 浜医大
セミナー申込フォーム、確認設定から他者が閲覧可能に - 山口県
フォームで個人情報が閲覧可能に、社内共有時のミスで - スーパーチェーン
フォーム編集ページへ誤リンク、個人情報が閲覧可能に - お茶大
イベント申込フォームで設定ミス、オーナー権限移行時に - 和洋女子大
移住相談会の申込者情報が閲覧可能に、フォーム設定ミスで - 埼玉県
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
ぴあチケットリセールサイトでキャッシュ設定ミス - 個人情報を誤表示