メルカリに出品してみた。

元、電器屋店長のメルカリ&ヤフオク!出品体験ブログ

54180名分流出!?メルカリが個人情報を漏洩!

メルカリweb版が個人情報を漏洩した模様。

         f:id:a-t-long-gain:20170623181929j:plain

どの程度の流出?

個人を特定できる情報かどうかに関わらず、意図しない第三者が情報を閲覧できる状態になっていた可能性がある最大数➡54,180名

②上記のうち、直接的に個人を特定し得ると考えられる情報(住所・氏名・メールアドレス)が閲覧できる状態になっていた可能性がある最大数➡29,396名

 

該当する場合であっても、以下の2つのケースそれぞれで「全て」の条件を満たさない限り、第三者に情報が表示されることはありません。

ケース1:
・障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に閲覧したページが、キャッシュサーバーに保存された。
(この際、複数存在するキャッシュサーバーのひとつに保存されます)
・アクセスした後、1時間以内に、アクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同じサーバーに接続された。

障害が発生していた時間帯に同タイミングで出品者と他の人が同じ商品画面を見ていたかといったところです。

ケース2:
・お客さまが購入者側である取引において、取引中の相手が上記ケース1に該当した。
・対象の商品が匿名配送を利用していなかった。

 

どうやら、

売ろうとしてた人と買おうとしてた人が同時に匿名配送を利用しない同じ商品を見ていて、そのデータが同じサーバーで処理されていた場合に漏洩した可能性がある。

ということみたいです。

複数の偶発的な条件が重なって生じるため、実際に閲覧に至る可能性は非常に低いかと。

【6/25:追記】

今回の一連の個人情報流出の原因が新サービス「メルカリボックス」が原因ではないかとされています。

メルカリボックスは、アプリから利用したとしてもメルカリweb版にアクセスしていることになります。

この結果、今回の個人情報漏洩は〝メルカリweb版を利用したことのあるユーザー″が対象でしたが、メルカリボックスで質問したり回答していると知らないうちに「利用していた」ことになります。

新しいサービスが気になってアクセスしてしまった方も多かったと思います…

 

閲覧出来た情報とは?

①直接的に個人を特定し得る可能性がある情報
住所、氏名、メールアドレス(アドレス内に氏名情報が含まれていた場合)

②その他のお客さま情報

(他の情報と組み合わせることで個人の特定は可能ですが、単体で直ちに悪用されるとは考えにくいもの)
銀行口座番号・クレジットカードの下4桁と有効期限 (※登録しているお客さまのみ)

購入・出品履歴、ポイント・売上金、お知らせ、やることリスト

購入・出品、登録情報の変更、振込申請等、「閲覧」以外の操作を行うことは一切できない状況でした。

またクレジットカード番号に関しては、下4桁のみが閲覧可能な状態でした。

 

個人情報を閲覧された可能性のあるユーザーには、メルカリ事務局より、メルカリ内の個別メッセージにて連絡があるようです。

アプリしか使っていない方には関係がありません。

ちなみに僕はどちらも利用してますが、今のとこと連絡はありません。

 

ではでは。