【悲報】メルカリ、顧客情報など2万7千件流出 「Codecov」のスクリプト不正改変が影響

サイバー攻撃話題のニュース
2021.05.22
引用元:https://asahi.5ch.net/test/read.cgi/newsplus/1621603195/
1凜 ★2021/05/21(金) 22:19:55.53ID:QEtTj3WS9

■Y!ニュース/共同通信(5/21 金 16:12)

Yahoo!ニュース
Yahoo!ニュースは、新聞・通信社が配信するニュースのほか、映像、雑誌や個人の書き手が執筆する記事など多種多様なニュースを掲載しています。
news.yahoo.co.jp

https://news.yahoo.co.jp/articles/fa2582e3a91edb22849ec907d1ff6166d8d92e70

 フリーマーケットアプリ運営のメルカリは21日、同社が利用する外部のサービスが第三者から不正アクセスを受けたことで、顧客や従業員の情報など約2万7千件が流出したと発表した。

→ この発言にコメント

71ヨロロの名無しさん2021/05/21(金) 23:23:08.09ID:LfabbDIL0

>>1
名前以外に預金口座番号も電話番号も紐付いて流出してるからヤバすぎるな
メルペイ導入している店は何故か従業員の個人情報まで流出しているけど何故何だ?

→ この発言にコメント

▼追加ソース

Yahoo!ニュース
Yahoo!ニュースは、新聞・通信社が配信するニュースのほか、映像、雑誌や個人の書き手が執筆する記事など多種多様なニュースを掲載しています。
news.yahoo.co.jp

↑より引用
流出情報で最も多かったのは、売上金の支払いに関連する顧客の銀行の口座番号や振込金額で、1万7085件に上った。このほか、スマートフォン決済サービス「メルペイ」の加盟店情報や従業員の氏名や生年月日も漏れた。

公式サイトより

「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について
(2022年9月26日追記) 本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。 この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第
about.mercari.com

↑より引用

2021年4月15日、当社が利用している外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者による不正アクセスについて公表しました。
<略>

4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。一方で、当該時点において外部から当社への断続的な不正アクセスの試行を確認しており、直ちに当該事象を公表することで、さらなる攻撃を受け、追加被害に繋がる可能性があったため、当社では1) 追加被害に繋がる不正アクセスを防ぐための対策と影響範囲の特定を第一優先で実施、2) 該当の対策完了後速やかに、本件により流出した情報の対象となる方々へのご案内および外部公表をおこなうことを決定し、個人情報保護委員会等に報告いたしました。

<略>
■ 「GitHub」上に格納されていた「メルカリ」(US版メルカリおよび過去提供サービスを含む)「メルペイ」のソースコードの一部

■ 上記ソースコード内に含まれる、以下のデータ並びに一部取引先および当社子会社を含む従業員に関する情報

■ 「メルカリ」の一部顧客情報を含むデータ

・2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額):17,085件
・2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容) :217件
・2013年5月に実施したイベントに関連した情報(氏名、年齢、性別、Eメールアドレス):6件
※現時点で「メルペイ」やUS版メルカリの顧客情報の流出は確認されておりません

■ 「メルカリ」および「メルペイ」の一部取引先等に関する情報:

・「メルペイ」加盟店情報(個人事業主名):7,925件

・「メルカリ」および「メルペイ」の取引先等に関する情報(氏名、生年月日、所属、Eメールアドレス等):41件

・当社子会社を含む一部従業員に関する情報(2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む):2,615件

コードカバレッジツール「Codecov」が原因との事。
確かにニュースになっています。

CodecovのBash Uploaderスクリプトが不正改変、侵害の確認と対応を
米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月30日(米国時間)、サイバー犯罪者がCodecovのBash Uploaderスクリプトに不正な改変を加えたと伝えた。該当するプロダクトを使用している場合は対応が必要
news.mynavi.jp

流れはこんな感じでしょうか?

・有名なソースコード管理システム「GitHub」と「Codecov」を使って「メルカリ」「メルペイ」のプログラムのソースコードのカバレッジ(チェックのようなもの)を行っていた。「Codecov」は可視化・レポートの役割のツールだが「GitHub」と連携できる。

・コードリポジトリ「GitHub」はネット上に存在するサービス。公開もできてしまうので事件になった事も。

被害はNEC含む5社に、GitHub上のソースコード流出問題 - 日本経済新聞
米ギットハブが運営するプログラム共有サイト「GitHub(ギットハブ)」上へのソースコード流出問題が広がっている。NECと中堅IT(情報技術)企業のコアが、自社が開発に携わったシステムに関して一部ソースコードの流出を確認したことが2日までに分かった。既に流出を確認した三井住友銀行やNTTデータ子会社のNTTデータジェト
www.nikkei.com

・「Codecov」がサイバー犯罪者により「Bash Uploaderスクリプト」が改変され、実行した時にパスワード等の認証情報が盗まれる状態に。(2021年1月31日)

・盗まれた認証情報で「GitHub」などから利用者のソースコードが盗まれる。4月23日に「GitHub」から影響を受けた恐れがあるとメルカリが連絡を受ける。

・メルカリのソースコードに顧客情報が含まれていたため流出。認証情報も含まれていて不正アクセスを受けていた?(調査中)

・4月27日に流出は判明していたが、追加被害を避けるためのに対策を行った後で公表。

ソースコード内にメルカリ等サービスの認証情報が含まれていれば、そちらへの不正アクセス等も起こりうるように見えます。
今回の問題は「Codecov」ですがメジャーなツールのようですので、まだまだ被害が広がりそうで恐ろしいです。

【楽天モバイル】「Rakuten Link」から個人情報流出で総務省が指導 別の利用者の発着信・チャット等が閲覧可能
blog.yorolog.com
【悲報】フェイスブックから5億人の個人情報が流出⁉ 米メディアが報じる 
blog.yorolog.com
【IT】無料VPNで2000万人のユーザー情報が流出 オンライン上で公開されているのが発見される
blog.yorolog.com
【コロナ】ワクチンの機密狙うサイバー攻撃を国内初確認 あの国が関与か…
blog.yorolog.com
2ヨロロの名無しさん2021/05/21(金) 22:20:34.22ID:BGHfdLo00

速攻で退会した。

→ この発言にコメント

4ヨロロの名無しさん2021/05/21(金) 22:23:15.30ID:rf+8FeiL0

>>2
手遅れである

→ この発言にコメント

3ヨロロの名無しさん2021/05/21(金) 22:21:34.89ID:d3PUhzSm0

本人確認のために、免許証を持った自撮り写真をアップロードさせてたよね?
それが流出してたら、ヤバくない?
どうなるの?

→ この発言にコメント

82ヨロロの名無しさん2021/05/21(金) 23:46:57.49ID:fbEOC1il0

>>3
それマッチングアプリの方じゃないの?

→ この発言にコメント

https://www.net-marketing.co.jp/news/5873/
www.net-marketing.co.jp

↑より引用
対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。

5ヨロロの名無しさん2021/05/21(金) 22:23:21.56ID:Rdxi1YFc0

独身の勝利

→ この発言にコメント

6ヨロロの名無しさん2021/05/21(金) 22:23:57.04ID:/x6S8VGR0

俺も退会したわ

→ この発言にコメント

30ヨロロの名無しさん2021/05/21(金) 22:50:53.58ID:gIR2YMkD0

>>6
退会しても個人情報は削除しませんってメルカリは言ってるよ
ずっと保持し続けるって

→ この発言にコメント

7ヨロロの名無しさん2021/05/21(金) 22:24:22.66ID:9xa92p8+0

なめてんのか!お詫びのポイントくれよ

→ この発言にコメント

9ヨロロの名無しさん2021/05/21(金) 22:25:34.53ID:to4uv6YI0

今見たらなんかしらんが100ptもらえてた
消費税もよこせ

→ この発言にコメント

10ヨロロの名無しさん2021/05/21(金) 22:26:11.87ID:IcQBYk0E0

やたらと個人情報の提示を求めるサービスは、意図的にこういう事起こすからw

→ この発言にコメント

13ヨロロの名無しさん2021/05/21(金) 22:28:33.15ID:uIVQ76/+0

同社の方針ではこのサイトに顧客情報を保管しないとしていたが、
一部運用の漏れがあったという
ごめんなさいで済まないね

→ この発言にコメント

14ヨロロの名無しさん2021/05/21(金) 22:29:54.67ID:pxRZ30Dv0

株の取引き時間終了後に発表wwwwwwww

→ この発言にコメント

16ヨロロの名無しさん2021/05/21(金) 22:30:36.80ID:AhO1/AoO0

>>14
こう言う時は上げる
もしくはナンピン買い

→ この発言にコメント

15ヨロロの名無しさん2021/05/21(金) 22:30:14.96ID:AhO1/AoO0

むしろ買い時

→ この発言にコメント

17ヨロロの名無しさん2021/05/21(金) 22:33:21.50ID:0ccOhbyT0

手数料払ってもコンビニ支払いでいいわ

→ この発言にコメント

18ヨロロの名無しさん2021/05/21(金) 22:34:22.92ID:to4uv6YI0

外部サービスてなん?
本人確認してなくてよかた。
マイナポイントのほかなんかある?

→ この発言にコメント

20ヨロロの名無しさん2021/05/21(金) 22:36:37.00ID:2fToqniL0

本人確認しなくてよかった

→ この発言にコメント

21ヨロロの名無しさん2021/05/21(金) 22:37:12.37ID:msDjO5PC0

俺のクソ売買情報がああああ

→ この発言にコメント

24ヨロロの名無しさん2021/05/21(金) 22:41:16.21ID:t9S/DtKx0

なんで取引所が閉まってから発表するん

→ この発言にコメント

25ヨロロの名無しさん2021/05/21(金) 22:42:16.90ID:tZfwgPRh0

マジ詫びポイントよこせ

→ この発言にコメント

29ヨロロの名無しさん2021/05/21(金) 22:50:22.86ID:nLpoRPgb0

2万7千どころじゃないだろう
本当はその10倍位いるだろう

→ この発言にコメント

31ヨロロの名無しさん2021/05/21(金) 22:51:24.77ID:oOLBIJTF0

いろんな企業から情報が抜かれてて、レッドチームはそれぞれ一ヵ所に
情報を集めて紐づけして分析してる。防諜が緩々なのは国技だとしても
流石にやばくなってきてると思うわ。

→ この発言にコメント

34ヨロロの名無しさん2021/05/21(金) 22:54:44.48ID:qAVeOr6H0

こういうのどこぞの弁護士やら司法書士が主導して集団訴訟やってくれないのかね?
最近多すぎるうえに何の補償もないぞ

→ この発言にコメント

38ヨロロの名無しさん2021/05/21(金) 22:57:32.48ID:RzZDZ97K0

不正アクセス防ぐのってそんな難しいもんなんか。
教えてパソコンの大先生

→ この発言にコメント

39ヨロロの名無しさん2021/05/21(金) 22:57:40.28ID:L8Q8Xr6+0

マイナンバーカードや顔写真要求された時点で危ないと思ってました

→ この発言にコメント

45ヨロロの名無しさん2021/05/21(金) 23:03:23.07ID:h/6x1iYc0

LINE Payがクソだったからメルペイにするという安易な発想だったわ。

→ この発言にコメント

49ヨロロの名無しさん2021/05/21(金) 23:06:18.75ID:j63yCcTx0

詫びポイント配って謝罪かな

→ この発言にコメント

52ヨロロの名無しさん2021/05/21(金) 23:07:37.63ID:/G7cW61o0

クレカ登録してるけどやばいけ?
削除した方がええんけ?

→ この発言にコメント

58ヨロロの名無しさん2021/05/21(金) 23:11:00.46ID:nQs3+pdF0

>>52
補償があるクレカなら平気やないの?
心配ならプリペイドとかワンタイム式にしたらええけど
でもメルカリって後払いできるしクレカ登録せんでもいいような…

→ この発言にコメント

54ヨロロの名無しさん2021/05/21(金) 23:08:47.62ID:FH0t/x1Y0

良かったー、本人確認もしてないしクレカ登録もしてない

→ この発言にコメント

57ヨロロの名無しさん2021/05/21(金) 23:10:09.25ID:8fBcVmM60

これから大変な事が起きたらマジ困る

→ この発言にコメント

59ヨロロの名無しさん2021/05/21(金) 23:12:19.99ID:4obqjJj90

転売厨死亡のお知らせ

→ この発言にコメント

61ヨロロの名無しさん2021/05/21(金) 23:13:56.87ID:N+BlIYaS0

本人確認はしていない。
する意味もない

→ この発言にコメント

62ヨロロの名無しさん2021/05/21(金) 23:17:05.86ID:brIERUwW0

今アプリ確認したけど何の連絡もない
本人確認したばっかりだわ

→ この発言にコメント

63ヨロロの名無しさん2021/05/21(金) 23:18:06.44ID:MOXx+omC0

転売はまだいいけど盗品も扱ってねえかここ?
さすがの俺もそろそろ看過できんよマジで

→ この発言にコメント

76ヨロロの名無しさん2021/05/21(金) 23:31:44.83ID:LfabbDIL0

>>63
大量の化粧品とかドラッグストアの商品出してる奴はヤバいよな
絶対万引き常習犯だし

→ この発言にコメント

65ヨロロの名無しさん2021/05/21(金) 23:19:53.59ID:atbgZ0mT0

アプリ起動してお知らせを見ても
この件については何にもないよね
ふざけるのも大概にsayよ

→ この発言にコメント

77ヨロロの名無しさん2021/05/21(金) 23:33:37.70ID:/MDjFuJE0

俺なんて、
FX会社から写真と免許証が流出して裁判中だが負けそうだぞ

→ この発言にコメント

88ヨロロの名無しさん2021/05/21(金) 23:52:45.67ID:9fkUo9pj0

>>77
負けるとかあるのかよ
賠償額は低そうだけどかつやろ

→ この発言にコメント

79ヨロロの名無しさん2021/05/21(金) 23:36:02.66ID:uvAHwGpy0

えっ最近めっちゃ買い物したんやけど

→ この発言にコメント

81ヨロロの名無しさん2021/05/21(金) 23:45:02.32ID:CXkO6+0g0

実家の部屋大掃除したからメルカリ始めようと思ったらこれかよ

→ この発言にコメント

83ヨロロの名無しさん2021/05/21(金) 23:48:37.15ID:MZxD19ao0

アプリのお知らせ・ニュースはシカト状態で草

→ この発言にコメント

85ヨロロの名無しさん2021/05/21(金) 23:49:55.60ID:0TcofCph0

メルペイの本人確認来る前に全部引き出ししておいて良かった〜
口座もメインじゃなく使う都度小額入れて使う口座にしてある pay系はメインに紐付けしないに限るよ

→ この発言にコメント

92ヨロロの名無しさん2021/05/21(金) 23:59:47.37ID:h4hcoIkp0

まだお知らせ更新しない運営

→ この発言にコメント

スポンサーリンク

コメント一覧

タイトルとURLをコピーしました