メルカリ Web版のメルカリ、一部の個人情報漏洩

インターネット上で誰でも手軽に品物を売買できるフリーマーケットサービスを展開するメルカリは6月22日、Web版のメルカリにおいて一部のユーザーの個人情報が他者から閲覧できる状態になっていたことが判明しましたと発表しました。原因はすでに判明して修正が完了しているとのことです。また、個人情報を閲覧された可能性のあるユーザーには、メルカリ事務局より、メルカリ内の個別メッセージにて連絡しているトンことです。

【原因】

メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行い、その際本来キャッシュされるべきでない情報がCDN側にキャッシュされてしまい、該当時間帯にアクセスしたユーザーに、他のユーザーの情報が表示されてしまったことが原因となります。

ユーザーからの問い合わせを受け、問題認識後、即時に設定の切り戻しとプロバイダ側のキャッシュの削除を実行。 これにより状況は収束し、現在は通常にサービスを提供しているとのことです。

※対象はメルカリWeb版の JP 及び US のみであり、iOS・Androidアプリ版には影響ありません。

【影響範囲】

本来ユーザーごとに異なる内容が表示されるはずが、CDNにてキャッシュされたことにより同一の内容が表示されたため個人情報(配送先住所、メールアドレス)などが、本人以外に表示されました。

意図せずユーザー本人以外に表示された可能性がある情報と影響をうけたユーザーは以下。

名前・住所・メールアドレス・電話番号 
(※登録しているお客さまのみ)
459名
銀行口座情報、クレジットカードの下4桁と有効期限
(※登録しているお客さまのみ)
1855名
購入・出品履歴22458名
ポイント・売上金、お知らせ、やることリスト53816名

【対応】

問題の認識後、以下の対応を行っています。

  • DNSの設定の切り戻しにより、切り替え前のCDNを利用する状態に戻しました。
  • 切り替え後CDNのコントロールパネルより、キャッシュされた情報の削除を行いました。

【対応】

問題の認識後、以下の対応を行っています。
•DNSの設定の切り戻しにより、切り替え前のCDNを利用する状態に戻しました。
•切り替え後CDNのコントロールパネルより、キャッシュされた情報の削除を行いました。

同社によると、外形監視を利用した、CDNによる意図しないキャッシュを早期に検知できる仕組みを導入します。今回はこのような事態に至り、深くお詫び申し上げます、としています。

詳細;Mercari Engineering Blog

<