「LINEギフト」で出店者に不適切な情報提供 - 通信内容に送り主の情報も
また「LINEギフト」や過去に提供していた一部eコマースサービスにおいて、2015年2月以降、特定操作を行なった場合に本来受け取り主が参照できない送り主に関する情報が、通信内容に含まれていることが判明した。
対象となるのは、送り主側における「LINE」アプリ上の受取り主の表示名、クーポンの情報のほか、送り主の友だちの情報や検索語句といった遷移元の情報のほか、経由元、流入元などの情報が含まれる。
さらに一部のユーザーでは、認証情報が含まれるケースもあった。認証情報はログインパスワードではなく、サービス内で利用者の識別に用いていたもので、有効期限が設定されており、すでに無効化されているとしている。
誤った実装が原因としており、通常の閲覧方法で表示されることはないが、通信内容を分析することで取得可能だった。
同社では2月24日にシステムをチェックする過程で問題を把握し、3月9日に通信内容より問題の情報を削除。4月17日より影響を受けた利用者へ通知を行なっている。
(Security NEXT - 2023/04/21 )
ツイート
関連リンク
PR
関連記事
中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市
サーバ管理ソフトの脆弱性突かれ、不正アクセス被害 - アイコムソフト
国内ISPのメールアカウント乗っ取りに注意 - 便乗攻撃にも警戒を
メッセージアプリが標的、要人狙う露フィッシング - 米当局
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
メルアカに不正アクセス、個人情報流出の可能性 - オークション事業者
4部署で公文書ファイルが所在不明、誤廃棄の可能性 - 三重県
患者向けの台風注意喚起メールで誤送信 - 磐田市立病院
VPN経由でサイバー攻撃、ランサム被害が発生 - D&M
「GitLab」にセキュリティ更新 - 脆弱性13件を修正

