トップへ

マクアケ、ログインしているアカウントが他人のものに入れ替わる不具合 個人情報やカード情報が閲覧された例も

2024年08月21日 20:21  ITmedia NEWS

ITmedia NEWS

(画像はマクアケの発表から引用、以下同)

 クラウドファンディングサイト「Makuake」を手掛けるマクアケは8月20日、19日午後3時13分から4時1分の48分間にかけて、ログインしているアカウントが他人のものに入れ替わる不具合が発生したと発表した。これにより、少なくとも1人分の情報が他のユーザーに閲覧されたという。


【その他の画像】


 影響を受けたユーザーは計3916人。それぞれ最大10分にわたって不具合の影響を受け、アカウントが入れ替わったユーザーに氏名、電話番号、住所、メッセージ機能内の送受信情報、登録済みクレジットカードの下4桁や有効期限を閲覧された可能性がある。


 このうち1人は、入れ替わり中にクラウドファンディング中のサービスや商品を先行購入できる機能を利用。クレジットカード決済で商品を購入した。ただし、入れ替わり先の氏名やクレジットカード情報は利用せず、新たに自分の氏名やクレジットカード情報を登録し、商品を購入したという。この際、入れ替わり先の氏名やクレジットカード番号の下4桁なども閲覧した。入れ替わり中の決済はこの1件のみで、すでにキャンセルした。


 すでに不具合は修正し、全ユーザーを強制ログアウトさせることで入れ替わりの問題は解消した。不具合の原因については「19日午後3時13分に内部的な認証フローの変更対応をリリースした後、本不具合が生じたことが判明した。内部システム変更により発生したものであり、サイバー攻撃などの外部に起因するものではない」(マクアケ)としている。


 影響を受けたユーザーには連絡済み。マクアケは今後、決済以外の要因などで個人情報を閲覧されたケースがないかの調査を進めるという。


【編集履歴:2024年8月21日午後4時54分】当初、「登録済みクレジットカードの下4桁や有効期限を閲覧・設定変更された可能性がある」としていましたが、追加の取材により設定が変更された可能性がないことが分かったため、表記を変更しました。また「現時点では、他に個人情報などを閲覧された例は確認していないという」とも表記していましたが、実際には調査中のため、削除しました。