LINE Pay、13万人超のキャンペーン参加情報が漏洩。GitHubで閲覧可能に

LINE Payは6日、一部ユーザーのキャンペーン参加情報が、ソースコード共有サービスの「GitHub」上で閲覧できる状態になっていたと発表した。対象のアカウント数は、日本のLINE Payユーザーが5万1,543、海外のLINE Payユーザーを含めると13万3,484アカウント。すでに情報は削除されており、対象ユーザーに個別で連絡を行なっている。

GitHub上で閲覧可能となっていたのは、一部ユーザーのキャンペーン参加に関わる情報で、対象ユーザーの識別子(LINE IDとは別)、加盟店管理番号、キャンペーン情報(キャンペーンコード等)。キャンペーンは2020年12月26日から2021年4月2日までのもの。

氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号などは含まれておらず、現時点でユーザーへの影響は確認されていないという。閲覧可能となっていた期間は9月12日15時13分頃から11月24日18時45分頃。

原因は、委託先のグループ会社従業員が、2021年1月と4月に、ポイント付与漏れの調査を行ない、その後、9月12日に調査用プログラムと対象となる決済に関する情報を意図せずにGitHub上にアップロード。それが閲覧できる状態になっていたとする。

アクセス状況の調査の結果、部外者からのアクセスが11件あった。また、現時点では当該情報が検索エンジンやアーカイブサイト上に残存していないことを確認しているという。

LINE Payでは、11月24日18時27分に社内のモニタリング業務を通じて、GitHub上の当該情報を検知し、同18時45分にGitHub上の当該情報削除を完了。30日13時05分からGitHub上の当該情報に対するアクセス状況や二次拡散状況の調査を完了し、12月6日16時頃から該当ユーザーへの通知を実施した。

該当ユーザーには、「LINE ウォレット」の公式アカウントから個別に案内する。