マイページに他人の個人情報 ドリカムFCアプリ、プロキシキャッシュ不備でログイン情報を他ユーザーに引き渡す問題
「DREAMS COME TRUE」公式ファンクラブ会員用アプリで、マイページに他のユーザーの氏名や住所などの個人情報が表示される問題が起きた。
9月1日にリリースされた、人気音楽ユニット「DREAMS COME TRUE」公式ファンクラブ会員用アプリで、マイページに他のユーザーの氏名や住所などの個人情報が表示される問題が起きたとし、開発元のSKIYAKI社が謝罪文を公表した。
負荷対策のために導入したプロキシキャッシュに不備があり、ユーザーのログイン情報が別のユーザーに引き渡されたことが原因と説明している。
プロキシキャッシュによるログイン情報を他の会員に引き継いだ可能性があるユーザーは57人、他ユーザーのマイページに情報が表示された可能性がある会員は104人という。
問題が起きたのは、9月1日にリリースしたファンクラブアプリ「ドリアプリ for PPベイビーズ」。
ログイン後のマイページに、他ユーザーの氏名、住所、メールアドレス、生年月日、性別、電話番号、ニックネーム、会員番号、自動更新の有効/無効、会員期限、継続期間が表示された可能性があるという。
アプリは1日午後3時にリリース。その直後から、SNSやアプリ内に問題を指摘する書き込みがあり、午後3時52分、緊急メンテナンスと原因調査を始めた。
9月2日にいったん、プロキシキャッシュによるログイン情報を他の会員に引き継いだ形跡のあるユーザーが48人、他ユーザーのマイページに情報が表示された可能性がある会員は104人と公表していた。
その後、ユーザーからの問い合わせで、ログイン情報を他の会員に引き継いだユーザーがさらに多い可能性があると判明。検証環境で誤表示が再現することを確認し、対象ユーザーに9人を追加した。対象のユーザーには個別で連絡する。
再発防止策として、プロキシキャッシュ導入の際には、キャッシュの中にログイン情報を含まないことをの確認を徹底するよう、開発体制を改善するとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
キャッシュからダメな情報が見えちゃうよ! 見逃しがちなWebアプリの落とし穴
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
クラファンサイトに“他人と入れ替わる不具合” ログイン状態が混ざる 勝手に支援できる状況に
READYFOR社は、クラウドファンディングサイト「READYFOR」でユーザー間のログイン状態が入れ替わる不具合が発生したと謝罪した。サイトの利用中にいつの間にか他人のアカウントにログインしている状態になることがあった。
出前館で他人のログイン情報が表示されるバグ キャッシュ削除処理に不備 924万人が対象
出前館の会員サービスで、ログイン情報を第三者が閲覧できるバグが見つかった。キャッシュ削除処理に不備があったのが原因で、900万以上のアカウントが対象。