6/22(木)にWeb版のメルカリを利用していた最大54,180名の個人情報が流出したことがわかった。現在は既に原因の把握及び対応は完了していることを発表し、経緯を公式サイトで説明している。
Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のユーザー情報について、他者から閲覧できる状態になっていたことがユーザーからの問い合わせで発覚した、という経緯である。個人情報流出が発表された後、すぐにWeb版のメルカリをメンテナンス状態にし原因究明と対応を行なったという。今後の対応についてメルカリ側は「個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします。」としている。
流出した個人情報は名前・住所・メールアドレス・電話番号を始めとして銀行口座やクレジットカード番号(下4桁と有効期限)、購入・出品履歴、ポイント、売上高、お知らせ、やることリストだと発表している。
情報流出から対応完了までの時系列(公式サイトより引用)
9:41 キャッシュサーバーの切り替えを実施(問題発生)
14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
15:16 Web版のメルカリをメンテナンスモードへ切り替え
15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
15:47 Web版のメルカリメンテナンスモードを終了
6/23の15:40に追記された情報によると、直接的に個人を特定し得ると考えられる情報が閲覧可能になっていた可能性があるのはそのうち29,396名としている。さらに障害発生時間帯(6/22 9:41-15:05)にPCにてアクセスを行い、その1時間以内に他のユーザーが同一キャッシュサーバー同一URLを踏んだ場合に限り漏洩した、としており、実際の漏洩人数についての公表はされていない。
※今回個人情報が流出したのは、日本及びUSのWeb版のメルカリに、障害が発生した時間帯にアクセスをしたユーザーであり、iOS/Androidアプリ版のメルカリを利用していたユーザーは対象外である。
