マクアケ、認証フローの不具合でアカウントが入れ替わり、個人情報が流出
| 会社名 | 株式会社マクアケ |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 住所/氏名/電話番号/クレジットカード情報(下四桁のみ)/有効期限 |
| 漏洩件数 | 3,916件 |
| 漏洩日時 | 2024/8/19 |
| 発表日時 | 2024/8/20 |
マクアケにて、運営サイトのシステム不具合により別人の個人情報が閲覧可能状態。同社運営のサービス「Makuake」にてログインする際の不具合により、一部ユーザのログイン状態が他のアカウントと入れ替わる事象が発生し、別人の個人情報が閲覧可能状態となった。
ユーザから問い合わせがあり、確認したところ、8月19日15時13分から16時1分の約48分間にわたり、不具合によりアカウントが入れ替わる状態になった。
社内調査の結果、同社にて内部的な認証フローの変更対応をリリースした際に不具合が発生したことが発覚。当該不具合はシステム変更により発生したもので、サイバー攻撃などではないことを確認した。
事象発覚後、同社は当該不具合を解消し、全ユーザを強制ログアウトする処理を行い、現在は不具合は解消している。同社はログ分析を行い、入れ替わりが発生した対象のアカウント顧客にメールにてお詫びとお知らせを行った。なお、入れ替わった状態での購入でクレジットカード決済をした際に、同社のシステム上、決済時のカード選択とセキュリティコードの入力が必須なため、他者名義での処理はされないことを確認した。
