出店者向けシステムなどで閲覧可能に
LINEは4月17日、メッセージアプリ「LINE」経由でギフトを贈れるサービス「LINEギフト」で、送った側の“友だち”の表示名などの情報が通信内容に含まれていたと発表した。期間は2015年2月ごろから、23年3月9日の約8年間。ギフトの注文者の情報も出店者側で必要以上に閲覧できる状態になっていた。
通信に含まれていたのは、ギフトを送る側=注文者のアプリ上で表示される受け取る側の名前や、そのほかの“友だち”(=LINE上でメッセージのやり取りのために登録した別のユーザー)の表示名、プロフィール画像、ユーザー内部識別子といった情報。
ほかに、アクセス解析に用いられるような、ギフト商品を探した際の検索フレーズ、商品の注文の際に開いていたLINEギフト内のページの情報、どこから遷移してきたか(=経由元)、LINEギフトページを訪れる前に閲覧していたサービスの情報(=流入元)なども入っていた。
同様の内容は、LINEギフトのほか、LINEのECサービス(現在は終了)の出店者が管理システムからダウンロードできるデータにも含まれていた。出店者がグーグルのアクセス解析ツールで閲覧できた情報にも、URL内のパラメーターとして、注文者の“友だち”の表示名などが入っていた可能性がある。
“友だち”の名前などが漏えいしていたのは、端末のアドレス帳の名前をLINEギフトのサーバーに送信していたことが原因。現在はその機能はないという。
2月16日に管理システムからのダウンロードデータに、送る側=注文者の“友だち”の情報が含まれていることが発覚した。同24日にLINEギフトのシステムを調査している過程で、出店者向けシステムだけでなく、通信に含まれていることがわかった。出店者側には該当データの削除を依頼しているという。
住所や電話番号やクレジットカード番号などの漏えいはなく、4月17日時点で二次被害は生じていないとしている。LINEギフトを贈った、もしくはもらったことのあるユニークユーザー数は、2023年1月時点で約2800万人。同月時点での出店者数は約1500店舗。