LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か

同社によれば、APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN（コンテンツデリバリーネットワーク）」のキャッシュサーバから動画ファイルを取得できる状態だった。

具体的には、公開済みの配信予定リストのAPIより、同じく一般向けに公開されている「予約ID」を取得でき、さらに同APIによって「予約ID」から「配信ID」を取得可能だった。「配信ID」を用いてコンテンツ詳細データを取得するAPIより動画のURLを入手でき、さらに同URLのパターンを解析することで配信開始後にキャッシュとして保存される動画ファイルのURLを推測、ダウンロードできる状態だった。

問題が判明した2020年10月当時、LINEではイベントを主催したユニバーサルミュージックや通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

ユニバーサルミュージックでは、LINEに対して個人情報流出の可能性について指摘し、参加ユーザーに対して告知を行うよう申し入れを行っていたという。当時の対応についてLINEは、「LINE LIVE」を活用したサービスである「LINE Face2Face」の動画も、「LINE LIVE」と同様の公開コンテンツとして認識していたとし、社内における確認や議論などが不十分だったと釈明した。

その後、全社的なガバナンス体制やセキュリティの見直しを進める過程で、同問題をあらためて検証し、「通信の秘密」や「個人情報」の流出にあたると判断。今回の公表に至ったとしている。所管する総務省や個人情報保護委員会にも報告を行った。

（Security NEXT - 2021/07/27 ） ツイート

PR

関連記事

入学手続き案内メールを誤送信、合格者のメアド流出 - 山口大
顧客などへのメルマガで誤送信 - 資格講座スクール
口座振込の確認メールを「CC」送信、メアドが流出 - 大阪市
クラファン支援者向けの案内メールで誤送信 - レノファ山口
高校情報共有ツールで個人情報が閲覧可能に、成績なども - 東京都
体験プログラムの申込フォームで別人の個人情報が閲覧可能に - 愛知県
図書館読み聞かせボランティア向けのメールで誤送信 - 柏崎市
医療者向け会員サービスで個人情報が閲覧可能に - 権限設定ミス
関係者向けメールを誤送信、訂正メール急いで発生 - 鳥取県
病院職員が患者情報含む受付画面をSNS投稿 - 岩見沢市