Tweet

Pocket

メルカリがCDNのキャッシュ設定ミスにより意図しない情報が閲覧可能な状態に

メルカリのTOPからアクセスできるところに報告はないのですが
「お知らせ」項目にさらっと報告されているようです。

本日、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は対応も完了しております。
お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げるとともに、経緯について下記の通りお知らせいたします。
詳しい内容につきましては、再度ご報告いたします。
なお、iOS/Androidアプリ版のメルカリをご利用のお客さまにつきましては対象外となります。

アプリからの利用者へは影響がなかったとされていますが
WEBから同タイミングで利用していたユーザーの多くの情報が閲覧可能な状態となっていた様子。

3. 個人情報を閲覧された可能性のあるお客さま
障害が発生していた時間帯に、メルカリWeb版にアクセスしたお客さま：54,180名
4. 閲覧された可能性のある個人情報
・名前・住所・メールアドレス・電話番号
・銀行口座、クレジットカードの下4桁と有効期限
（※以上、登録しているお客さまのみ）
・購入・出品履歴
・ポイント・売上金、お知らせ、やることリスト

エンジニアBlogではさらに詳細の説明あり

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして – Mercari Engineering Blog

クレジットカード番号は下四桁のみの被害だったようですが

約460件のアクセスで「名前・住所・電話番号」のセットも流失している恐れがある様子。

影響

本来お客さまごとに異なる内容が表示されるはずが、CDNにてキャッシュされたことにより同一の内容が表示されました。 これによりお客さまの個人情報(配送先住所、メールアドレス)などが、本人以外に表示されました。

意図せずお客さま本人以外に表示された可能性がある情報と影響をうけたお客さまは以下の通りです。*1

影響範囲	アクセス数
名前・住所・メールアドレス・電話番号 （※登録しているお客さまのみ）	459名
銀行口座情報、クレジットカードの下4桁と有効期限 （※登録しているお客さまのみ）	1855名
購入・出品履歴	22458名
ポイント・売上金、お知らせ、やることリスト	53816名

情報漏えいのお知らせがTOPにない？

LINKぐらいTOPから貼っておけよ

といいたくなるところではありますが

まだ状況説明が画像ではないだけましということでしょう

情報源: Web版のメルカリにおける個人情報流出に関するお詫びとご報告

メルカリ、5万4千人分の個人情報流出　公式サイトで謝罪 （オリコン） – Yahoo!ニュース

Tweet

Pocket