LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か

同社によれば、APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN（コンテンツデリバリーネットワーク）」のキャッシュサーバから動画ファイルを取得できる状態だった。

具体的には、公開済みの配信予定リストのAPIより、同じく一般向けに公開されている「予約ID」を取得でき、さらに同APIによって「予約ID」から「配信ID」を取得可能だった。「配信ID」を用いてコンテンツ詳細データを取得するAPIより動画のURLを入手でき、さらに同URLのパターンを解析することで配信開始後にキャッシュとして保存される動画ファイルのURLを推測、ダウンロードできる状態だった。

問題が判明した2020年10月当時、LINEではイベントを主催したユニバーサルミュージックや通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

ユニバーサルミュージックでは、LINEに対して個人情報流出の可能性について指摘し、参加ユーザーに対して告知を行うよう申し入れを行っていたという。当時の対応についてLINEは、「LINE LIVE」を活用したサービスである「LINE Face2Face」の動画も、「LINE LIVE」と同様の公開コンテンツとして認識していたとし、社内における確認や議論などが不十分だったと釈明した。

その後、全社的なガバナンス体制やセキュリティの見直しを進める過程で、同問題をあらためて検証し、「通信の秘密」や「個人情報」の流出にあたると判断。今回の公表に至ったとしている。所管する総務省や個人情報保護委員会にも報告を行った。

（Security NEXT - 2021/07/27 ） ツイート

PR

関連記事

クラウド保存した進路アンケートが生徒からも閲覧可能に - 都立中等学校
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
開示したNPO法人事業報告書で墨塗り漏れが判明 - 山口県
人事情報の不正閲覧で職員2人を処分、以前から漏洩のうわさ - 筑前町
メール誤送信で横断幕掲示応募者のメアド流出 - 飯塚オートレース場
検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市
メール記載のリンク先を誤設定、個人情報が流出 - 岐阜県
案内メール誤送信で顧客のメアド流出 - 東京サマーランド
神戸市、個人情報の不正操作で職員処分 - 保険料増額の通知から発覚