LINE Payは、一部ユーザーのキャンペーン参加に関する情報が、ソフトウェア開発のプラットフォーム「GitHub」上で閲覧できる状態になっていたとして謝罪しました。
閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておらず、現時点でユーザーへの影響は確認されていないということです。
閲覧可能だった情報は、対象ユーザーの識別子(LINE IDとは異なる)、加盟店管理番号(加盟店IDとは異なる)、キャンペーン情報(キャンペーンコード等)です。このうち、キャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれる場合があります。
閲覧できる状態にあった期間は9月12日15時13分頃~11月24日18時45分。ユーザー情報は2020年12月26日から2021年4月2日までのものでした。
漏洩対象のアカウント数は、日本国内のLINE Payユーザーだけで5万1543アカウント、海外のグループ会社で展開しているLINE Payユーザーを含めると13万3484アカウントです。
当該情報に対する部外者のアクセス件数は11件だったということです。
発生原因に関してはLINE Pay側は次のように説明しています。
『当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていました』
該当ユーザーには「LINE ウォレット」の公式アカウントから個別に案内を行っているほか、問い合わせ窓口(https://contact-cc.line.me/detailId/14554)も設置しています。
LINE Pay側は「今後、情報取り扱いの社員教育をさらに徹底し、その他の対応策も検討を進め、再発防止につとめてまいります」とコメントしています。
(Source:LINE Pay。Engadget日本版より転載)