LINE Payで一部ユーザーのキャンペーン参加情報がネット上に漏えい

本日、LINE Payが、ソフトウェア開発のプラットフォームである「GitHub」上で、一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていたことを発表しました。

閲覧可能となっていた情報には、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておらず、現時点でユーザーへの影響は確認されていないとのこと。

外部に漏えいしたのは2020年12月26日から2021年4月2日までの期間に、キャンペーンで決済した国内の利用者に関する情報、5万1,543件で、対象ユーザーの識別子（アプリ内で機械的にユーザーを識別する為のもので、LINE IDとは別）、加盟店管理番号、キャンペーン情報（キャンペーンコード、決済金額、決済日時を含む場合あり）となっています。

漏えいしてしまった要因は、委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行い、その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていたそうで、既に「GitHub」上の当該情報の削除を完了済みだそうです。

当該情報に対するアクセス状況の調査の結果、部外者からのアクセスがあったことを確認しているものの、現時点で当該情報が検索エンジンやアーカイブサイト上に残存していないことを確認しているとのこと。

なお、本件の当該ユーザーには既に通知を行っており、必要な対応を完了しているものの、同社を装ったメッセージに注意するよう注意喚起を行っています。

・ニュースリリース