LINEは4月17日、ユーザー同士でギフトを送りあえる「LINEギフト」で「不適切なデータの取り扱いがあった」と発表した。
2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題があったという。現時点で個人情報の不正利用など二次被害は発生していない。
LINEは同日、ユーザーにメッセージを送り、詳細を記載したURLを伝えた。ただ、告知の文章が非常に長い上に専門的な内容も含まれており「意味が分からない」などの声も出ている。
告知によると、問題が発生していたのは2015年2月ごろから、2023年3月9日にわたる約8年間。2月の社内調査で発覚した。「誤った実装」が原因という。
「ユーザーがLINEギフト上で一定の操作を行った」場合、ギフトを送ったユーザー情報のうち、伝えるべきでない情報が、受け取るユーザーへの通信内容に含まれていた。
通信内容に含まれていたのは、送り主が、LINEアプリ上で変更した受け取り主の名前(あだ名など)や、ユーザー内部識別子(LINEアプリ内でユーザーを識別するためのもので、LINE IDではない)、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。
さらに、2016年2月ごろから2023年2月21日にかけ、LINEギフトなどの出店ショップが、管理システムからダウンロードできる受注データのCSVファイルにも、ショップが知るべきでない送り主の情報が含まれていたという。
含まれていたのは、送り主が、LINEアプリ上で変更した友だちの名前(あだ名など)、ユーザー内部識別子、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。ショップには、該当データの消去を依頼したという。
加えて、2015年11月ごろから2023年2月22日にかけて、出店ショップが管理するGoogle Analyticsに、ユーザーの端末の種類やリファラー情報などを、ユーザーへの説明がない状態で提供していた。
リファラー情報には、URL内のパラメータとして、送り主が、LINEアプリ上で変更した友だちの名前(あだ名など)や、商品を探した際の検索語句、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報などが含まれていたという。ショップには、該当データの消去を依頼したという。
【訂正:2023年4月18日午前9時20分 ショップの漏えい内容の項目で当初「送り主が、LINEアプリ上で変更した受け取り主の名前(あだ名など)」としていましたが、実際は、受け取り主の名前でなく「送り主の友だち」の名前でしたので、訂正しました。】
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR