- 元記事:大量のグループ招待及び友だち追加の発生に関するお知らせとお詫び
- HP:LINE
- 公開日時 2020/11/17
LINEにて不審なBotが、2020年10月15日から2020年11月03日の期間中、ユーザーの同意なく、強制的に友だちとして追加される、また、当該Botが作ったLINEグループに招待されるという事案が、約12万を超えるLINEユーザーを対象に発生した。
LINE Bug Bounty Programを通じて、不具合の報告が同社に届き、本件が発覚。本件は、同社が管理する特別なアカウント「CLOVA専用アカウント」の仕様が悪用されたことが原因であり、同社が提供しているサービス「CLOVA Assistant」において利用する一部のAPIを用いることで、友だち関係にないLINE利用者に対して、グループ招待を行ったり「CLOVA専用アカウント」を強制的に友だち追加することが可能な脆弱性があることが判明した。詳細な経緯は、現在調査中だが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、悪用につながったものと考えられる。
同社は当該Botの削除を行い、多くのグループに招待を受けている顧客を対象に、グループ招待のキャンセル処理を実施した。なお、グループに参加済みの場合には自動で削除はされないため、各自でグループを削除するよう依頼をしている。