2017年06月27日

メルカリの情報流出は、キャッシュから

メルカリのWeb版の方で、個人情報が漏れた可能性があるというニュースがあった時は、攻撃でも受けてDBから情報でも盗まれたのかと思ったけど
実際は違ったようです。
個人情報が漏れた可能性があると。偶然他人の個人情報が見えてしまった可能性があるということのようです。
ユーザー側で不正な操作は全くしてないのに、たまたま他人の個人情報が見えてしまったら、怖いですね。もしかしたら自分の情報も誰かに見られた可能性も・・ないとは言えないし(実際に漏れた情報は少ないと思うけど)

仕組みは簡単、リバースプロキシのような構成になっていて、間のキャッシュサーバーが情報を保存しておいて、その情報を表示してしまっていたと。

よくある?単純なミスとも言えるけど
昔はキャッシュコントロールでトラブルはあったが、今はCDNを使う仕組みを使うことで大量のアクセスを回避してるので、CDNの仕組みに詳しくないとトラブルにあうこともありそうです。
今回はCDNを乗り換え時のミス、CDNのキャッシュコントロールに違いに気づかなかったのが問題だったようですね。

参考)メルカリの個人情報流出、陥った「no-cache」の罠
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/062601030/
posted by zjapan at 09:39| Comment(0) | TrackBack(0) | 事件です | このブログの読者になる | 更新情報をチェックする