メルカリ、Webブラウザ向けサービスで54180名の個人情報を流出

2017年6月24日 13:25

印刷

記事提供元:スラド

ymasa 曰く、 メルカリのWebブラウザ向けサービスで、CDN(コンテンツデリバリネットワーク)サービス切り替えの際の設定不備によって54,180名の個人情報が流出したことをメルカリが発表した(INTERNET Watch)。

 iOS/Androidアプリ版のメルカリは対象外という。流出したのは名前・住所・メールアドレス・電話番号、銀行口座、クレジットカードの下4桁や履歴・設定情報など。6月22日9時14分にWeb版メルカリのパフォーマンス改善のためキャッシュサーバーに切り替えを行ったとき、個人情報が他者から閲覧できる状態になっていたという。

 時系列としては14時41分の発覚後15時5分に従来の設定に変更、15時16分メンテナンス状態にして15時36分キャッシュサーバーへのアクセスを遮断・問題解消。15時47分にメンテナンスモード終了、となっている。現在は対応を完了しているという。

 また、問題の技術的な詳細も公開されている。これによると、メルカリでは個人情報などを扱うページについても、キャッシュを保持しない設定でCDN経由でのアクセスを行う仕様にしていたという。しかし、CDNの切り替えの際、切り替え前のCDNと切り替え後のCDNの仕様が異なっていたため、「キャッシュを保持しない設定」が無効になり、個人情報に関するページがキャッシュされ、本来表示されるべきではない人に対しそれが表示されてしまったという。

 スラドのコメントを読む | ITセクション | テクノロジー | インターネット | 情報漏洩

 関連ストーリー:
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
Amazon、DDoS攻撃対策システム「AWS Shield」を発表 2016年12月08日
スマートフォンを使ったDDoS攻撃が確認される 2015年10月01日
中国政府が大手CDN「Edgecast」をブロック、中国国内からのアクセスが不能に 2014年11月20日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事