フリーマーケットサービスのメルカリで個人情報が流出する事故が起こった。iOS/Androidアプリ版ではなくWebアプリ版で起こった。あるユーザーが自分の情報を表示しようとすると、他のユーザーの情報が表示されてしまうというものだ。

メルカリのお知らせページ
メルカリのお知らせページ
[画像のクリックで拡大表示]

 第三者の情報を閲覧できる状態になっていた可能性があるユーザーは5万4180人。このうち、住所・氏名・メールアドレスが見える状態になっていたユーザーは2万9396人だという。

 第三者の情報を閲覧できる状態になっていた可能性があるユーザーでも、特定の条件を満たさなければ、実際には住所・氏名・メールアドレスが見える状態にはならなかったという。メルカリは、そうした条件には二つのケースがあるとしている。

 第1のケースは、障害が発生した2017年6月22日の9時41分から15時5分の間にWeb版メルカリにログインしてアクセスし、そのときに閲覧したページがキャッシュサーバーに保存された場合。そのユーザーがアクセスしてから1時間以内に、アクセスしたURLと完全に一致するURLに他のユーザーがアクセスし、その際にキャッシュが保存されたサーバーと同じサーバーに偶然接続されたときにだけ、他のユーザーの情報が見えてしまっていた。

 第2のケースは、ユーザーが購入者側になっている取り引きで、取引先の相手が第1のケースに該当した場合。対象の商品で匿名配送を利用していないと、他のユーザーに個人情報を見られる可能性があった。

 なお、他人の個人情報が見えた場合でも、購入・出品、登録情報の変更、振込申請といった「閲覧以外の操作」は一切できない状況だったという。