LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か

同社によれば、APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN（コンテンツデリバリーネットワーク）」のキャッシュサーバから動画ファイルを取得できる状態だった。

具体的には、公開済みの配信予定リストのAPIより、同じく一般向けに公開されている「予約ID」を取得でき、さらに同APIによって「予約ID」から「配信ID」を取得可能だった。「配信ID」を用いてコンテンツ詳細データを取得するAPIより動画のURLを入手でき、さらに同URLのパターンを解析することで配信開始後にキャッシュとして保存される動画ファイルのURLを推測、ダウンロードできる状態だった。

問題が判明した2020年10月当時、LINEではイベントを主催したユニバーサルミュージックや通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

ユニバーサルミュージックでは、LINEに対して個人情報流出の可能性について指摘し、参加ユーザーに対して告知を行うよう申し入れを行っていたという。当時の対応についてLINEは、「LINE LIVE」を活用したサービスである「LINE Face2Face」の動画も、「LINE LIVE」と同様の公開コンテンツとして認識していたとし、社内における確認や議論などが不十分だったと釈明した。

その後、全社的なガバナンス体制やセキュリティの見直しを進める過程で、同問題をあらためて検証し、「通信の秘密」や「個人情報」の流出にあたると判断。今回の公表に至ったとしている。所管する総務省や個人情報保護委員会にも報告を行った。

（Security NEXT - 2021/07/27 ） ツイート

PR

関連記事

県立高の授業見学申込フォームで個人情報が閲覧可能に - 群馬県
成人祝賀イベントの参加者向けメールで誤送信 - 酒田市
ワンコインチケットの申込フォームで設定ミス - 佐賀バスケチーム
画像診断委託先でクラウド設定ミス、患者情報が閲覧可能に - マツダ病院
3R宣言事業者向けのメールで誤送信 - 岡山県
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市
事業者宛てメールで複数の誤送信が判明 - 公共施設の管理運営会社
動作確認ページ残存、ボランティア登録者メアドが閲覧可能に - 名古屋市
電子カルテで知人情報を不正取得、漏洩した病院職員を処分 - 青森県
県立公園において複数回にわたりメール誤送信 - 群馬県