LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か

同社によれば、APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN（コンテンツデリバリーネットワーク）」のキャッシュサーバから動画ファイルを取得できる状態だった。

具体的には、公開済みの配信予定リストのAPIより、同じく一般向けに公開されている「予約ID」を取得でき、さらに同APIによって「予約ID」から「配信ID」を取得可能だった。「配信ID」を用いてコンテンツ詳細データを取得するAPIより動画のURLを入手でき、さらに同URLのパターンを解析することで配信開始後にキャッシュとして保存される動画ファイルのURLを推測、ダウンロードできる状態だった。

問題が判明した2020年10月当時、LINEではイベントを主催したユニバーサルミュージックや通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

ユニバーサルミュージックでは、LINEに対して個人情報流出の可能性について指摘し、参加ユーザーに対して告知を行うよう申し入れを行っていたという。当時の対応についてLINEは、「LINE LIVE」を活用したサービスである「LINE Face2Face」の動画も、「LINE LIVE」と同様の公開コンテンツとして認識していたとし、社内における確認や議論などが不十分だったと釈明した。

その後、全社的なガバナンス体制やセキュリティの見直しを進める過程で、同問題をあらためて検証し、「通信の秘密」や「個人情報」の流出にあたると判断。今回の公表に至ったとしている。所管する総務省や個人情報保護委員会にも報告を行った。

（Security NEXT - 2021/07/27 ） ツイート

PR

関連記事

委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
中学校で卒業生の個人情報が生徒用端末から閲覧可能に - 半田市
情報セキュリティ教室の参加者一覧が閲覧可能に - NII
学生ポータルで不具合、想定外の認証でアクセス可能に - 東経大
フォーム閉鎖時の設定ミスで応募者情報が閲覧可能に - 文京区
OS更新作業中にテスト出力した個人情報ファイルを外部公開 - 茨城県
サマースクール保護者説明会の案内メールを誤送信 - 藤沢市
小中2校で個人情報が生徒端末より閲覧可能に - 松戸市
クレジットウェブ申込システムで不具合 - AGペイメント
町史購入者向けのメールで送信ミス - 利府町