LINE、LINEギフトで約8年間注文者の友だちの情報等が不当に開示されていたことを公表
LINEは、LINE経由でギフトを贈れるサービスLINEギフトで、送った側の“友だち”の表示名などの情報が通信内容に含まれていたと発表しました。期間は2015年2月ごろから、23年3月9日の約8年間。ギフトの注文者の情報も出店者側で必要以上に閲覧できる状態になっていました。
通信に含まれていたのは、ギフトを送る側=注文者のアプリ上で表示される受け取る側の名前や、そのほかの“友だち”の表示名、プロフィール画像、ユーザー内部識別子といった情報です。
また、アクセス解析に用いられるような、ギフト商品を探した際の検索フレーズ、商品の注文の際に開いていたLINEギフト内のページの情報、どこから遷移してきたか、LINEギフトページを訪れる前に閲覧していたサービスの情報(=流入元)なども入っていました。
同様の内容は、LINEギフトのほか、LINEのECサービス(現在は終了)の出店者が管理システムからダウンロードできるデータにも含まれていあした。出店者がグーグルのアクセス解析ツールで閲覧できた情報にも、URL内のパラメーターとして、注文者の“友だち”の表示名などが入っていた可能性があります。
原因は、端末のアドレス帳の名前をLINEギフトのサーバーに送信していたこととしており、現在はその機能は廃止しているそうです。
2月16日に管理システムからのダウンロードデータに、送る側=注文者の“友だち”の情報が含まれていることが発覚、2月24日にLINEギフトのシステムを調査している過程で、出店者向けシステムだけでなく、通信に含まれていることが相次いで発覚をした。出店者側には該当データの削除を依頼中。
住所や電話番号やクレジットカード番号などの漏洩はなく、4月17日時点で二次被害は生じていないとしています。
