【メルカリ】個人情報流出、5万人以上の情報が閲覧可能な状態に!

2017年6月22日に発生した、フリマアプリ「メルカリ」のWeb版で、一時的に5万4180人の個人情報(名前、住所、銀行口座など)が他者から閲覧可能な状態になっている事がユーザの指摘で発覚。
現在は、問題を解消しており、iOS版とAndroid版は対象外との事。

メルカリ公式の報告

「メルカリ」公式からの情報

6月22日にメルカリWeb版のパフォーマンス改善のため、キャッシュサーバの切り替えを行ったところ、一部の個人情報が他者から閲覧できる状態になっていると、ユーザーからの指摘で発覚したとの事。
発覚後は、メルカリWeb版をメンテナンス状態とし、原因の究明と問題の解消を行うと共に、経緯や被害・影響の対象範囲の確認が行われました。

情報流出をした地域は、日本版とUS版それぞれで発生。

問題が発生していたのは、9時41分~15時16分で、この間にメルカリWeb版を使用していたユーザー5万4180人は個人情報を閲覧された可能性があるとの事。
閲覧された可能性のある個人情報は、以下の通り。

■名前・住所・メールアドレス・電話番号(登録しているユーザーのみ)
■銀行口座、クレジットカードの下4桁と有効期限(登録しているユーザーのみ)
■購入・出品履歴
■ポイント・売上金、お知らせ、やることリスト

疑問点

メルカリ公式では、キャッシュサーバの切り替えで問題が発生したとなっているが、キャッシュサーバ≒CDN(Content Delivery Network/コンテンツ配信ネットワーク)には、個人情報の類は、キャッシュしないように(データを残さないように)設定していたとの事。

ならば何故、残さない設定のはずのキャッシュサーバの切り替えで情報が流出したのでしょう?
この手の売買やユーザの情報が行き交うサイトでは、CDNにはキャッシュデータは残さない方が安全です。

更にユーザの利便性を上げようとして、キャッシュを使う仕様に変えようとして、上手く行かずトラブルになったのではないでしょうか。

最後に

メルカリ側は、約1時間で対応が完了しており、情報の公開も含め、かなり迅速に対応していて、ブランドイメージはそこまで傷つけないのではないかと考えられます。
ただ、疑問点にもあるように、そもそもの技術的な問題など、不安な点は残ります。

スポンサーリンク
  • このエントリーをはてなブックマークに追加