12月6日、スマホ決済サービス「LINE Pay」を提供するLINE Payが、日本国内だけで5万人を超えるユーザーの決済情報が誤って公開されたと発表しました。LINE Payは海外でも展開されていて、国内外全体では13万人を超えるユーザーが対象です。
閲覧可能な情報には、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておらず、現時点でユーザーへの影響は確認されていないと報告されています。
グループ会社の従業員が閲覧可能な状態で誤公開
LINE Payの発表によると、2021年1月および4月に委託先のグループ会社の従業員が、過去に実施したキャンペーンにおいてポイント付与が漏れていたことに関して調査を行い、2021年9月21日に調査を行うためのプログラムと対象の決済に関する情報をGitHub上に閲覧できる状態でアップロードしたとのこと。
現在は検索エンジンやアーカイブサイト上に残存していないものの、Github上にアップロードされた決済情報へのアクセス状況を調査したところ部外者から11件のアクセスがあったことを確認したと報告しています。
漏えいした決済情報は去年の12月26日から4月2日までの期間分で、閲覧可能な状態は2021年9月12日15時13分頃~2021年11月24日18時45分まで2ヶ月以上も続いていました。
閲覧できた決済情報には、LINE内で機械的にユーザーを識別するための「識別子」、システム内で加盟店や利用企業を識別するための「加盟店管理番号」、キャンペーン情報(キャンペーンコード等)が含まれていて、キャンペーンの名称や決済金額、決済日時が含まれる場合もあります。
閲覧できる状態にあった当該情報はすでに削除されていて、該当のユーザーにはLINEウォレットの公式アカウントから案内をしているとのこと。不明な点を問い合わせる専用フォームも利用できます。
LINE Payは「本件につきまして、下記の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます」と謝罪しています。
- 2021年11月24日18時27分:社内のモニタリング業務を通じて、「GitHub」上の当該情報を検知
- 2021年11月24日18時37分:「GitHub」上の当該情報を確認
- 2021年11月24日18時45分:「GitHub」上の当該情報の削除を完了
- 2021年11月30日13時05分:「GitHub」上の当該情報に対するアクセス状況および二次拡散状況の調査を完了
- 2021年12月 6日16時00分頃:該当ユーザーへの通知を実施
- | LINE Pay