酢ろぐ!

カレーが嫌いなスマートフォンアプリプログラマのブログ。

メルカリで個人情報流出事故にあった

メルカリで個人情報が漏れたのでメモ。

先に書いておくと、僕はメルカリに対しては好意的な立ち位置です。少し前にメルカリで郵便事故にあった時のサポートの対応がとてもよかったので、急ぎでその時の顛末について記事を書いたくらいでした。

ともあれ今回の個人情報については対応をどうしようかと考えあぐねています。

個人情報流出についての公式発表

20時20分にコーポレートサイトで個人情報流出について発表がありました。

2017年6月22日(木)、Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました。

Web版のメルカリにおける個人情報流出に関するお詫びとご報告

キャッシュサーバーの切り替えに関する情報の詳細については、20時44分にエンジニアブログで発表がありました。

影響

本来お客さまごとに異なる内容が表示されるはずが、CDNにてキャッシュされたことにより同一の内容が表示されました。 これによりお客さまの個人情報(配送先住所、メールアドレス)などが、本人以外に表示されました。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

緊急メンテナンスに突入した前後の僕

15時10分ごろに異変に気付きます。メルカリは各商品にカテゴリを強制的につけさせており、下記のようなURLでカテゴリ別の出品を見られるようになっています。

いつものようにゲームボーイ(の本体やソフト)の出品をみていました。F5キーを押して画面を更新したらゲームボーイが表示されるはずなのに英語タイトルのゴルフウェアしか並んでいません。一瞬のできごとで外国人が登録をミスって大量出品をしたのではないかと思ったくらいです。

どうもタイトルと表示されているコンテンツがチグハグになっていて、デプロイをミスってやらかしたんかなぁなんて思っていました。

最近頻繁にメルカリの仕様変更が入っているのか、F5キーを押したら消費税表示が追加されていたりWeb版の挙動が少しずつ変わっていました。変更が入った副作用か不具合も出ていました。例えば、通知欄をみたら今までは該当の商品ページに遷移していたのに関わらずスマホアプリのダウンロード告知が入ったり等です。

そんな事情もあって、なんか大きなミスをしてしまったんだなと察してしました。

しばらく英語のゴルフウェアの出品を眺めていたら、15時21分には完全にメンテナンスモードに切り替わってしまいました。公式では15時16分にメンテナンスモードに入ったようなので少し時差があり反映されたようです。

ものすごく絶妙なタイミングでアクセスしていたようですね。詳しくないけどたまたまやで。

そのあとは仕事に戻って、19時頃に再度サイトをみたらメンテナンスが終わって普通にアクセスできるようになっていました。20時20分に前述の個人情報流出のお知らせのメールが届きました。

その後しばらくしてから21時くらい?にメルカリ運営から個別メッセージが届いていました。登録していなかった銀行口座以外は流出してしまったようです。

Twitterで「謝って済む問題じゃない!」「個人情報流出の慰謝料の相場は500円」的なツイートを眺めながら、クレジットカード情報が漏れた場合は再発行手数料分が返ってきたらいいやくらいの気持ちなんですけれど、住所氏名その他諸々が漏れた場合にどのように対処したらよいのか変わらず悩んでいます。