LINE、「LINE PLACE」の脆弱性で投稿コンテンツが外部から閲覧可能状態
| 会社名 | LINE株式会社 |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | アプリ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/クレジットカード情報 |
| 漏洩件数 | 不明 |
| 漏洩日時 | 2020/7/20〜2023/3/30、2021/1/28〜2023/3/30 |
| 発表日時 | 2023/6/28 |
LINEにて、「LINE PLACE」の脆弱性で投稿コンテンツが外部から閲覧可能状態。LINE CONOMIが提供する「LINE PLACE」に脆弱性が存在し、悪意ある第三者が開発ツールを用いて専門的な操作を行った際に、投稿されたレシート画像やURLが外部から閲覧可能となることが発覚した。
LINE Security Bug Bounty Programを通じてLINEからLINE CONOMIに報告があり事態が発覚。同社は当該脆弱性の修正を行った。閲覧可能だったのは2018年11月28日〜2023年3月30日及び2020年8月4日〜2023年3月30日の期間に投稿されたレシート画像やURLで、本来投稿者本人が投稿済レシート画像を閲覧できる機能であったが、第三者が脆弱性を悪用して開発ツールを用いて操作を行うことで、レシート画像が閲覧可能となり、レシート画像に個人情報が記載されていた場合には情報が閲覧、盗取が可能となった。また、位置情報記録のオプションを有効にして投稿していた場合には情報を盗取される恐れがあった。なお、クレジットカードに関しては一部のみ掲載のためこの情報のみで決済に悪用される可能性は低いとしている。
