フリーマーケットアプリ運営のメルカリは5月21日、メルカリが運営するメルカリとメルペイで第三者から不正アクセスを受けたことで、銀行の口座番号を含む個人情報や、氏名など合計で約2万7千件が流出したと発表しました。「現時点で顧客への被害は確認されていない」と説明しています。
被害対象は?
不正アクセスがあったのは2021年1月31日から4月18日の期間のようです。流出情報で最も多かったのは、売上金の支払いに関連する顧客の銀行の口座番号や振込金額で、1万7085件もの情報が流出してしまったようです。このほか、スマートフォン決済サービス「メルペイ」の加盟店情報や従業員の氏名や生年月日も漏れたようです。
流出による被害影響は?
銀行の口座番号や生年月日が漏れています。銀行の暗証番号などが生年月日の人は被害にあう可能性があります。メルカリは「多大なるご迷惑とご心配をお掛けし、心より深くおわび申し上げます」としています。
同時期に、171万人個人データー流出
マッチングアプリ「Omiai」を運営する株式会社ネットマーケティングは5月21日、外部からの不正アクセスを受け、会員情報が一部流出した可能性が高いと発表しました。同社は2018年1月31日から2021年4月20日の期間に、年齢確認審査書類として提出された約171万人の運転免許証、健康保険証、パスポートなどの画像データが流出した可能性があると説明しています。興味深いのはメルカリの情報流出と期間が重なっているところです。そして流出は発表時期も同じことです
その理由は外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスが原因とみられます。
Codecov LLCの公表概要サマリー
2021年1月31日より同社のBash Uploaderスクリプトが第三者によって定期的に不正に変更される事象が発生。不正アクセスにより「Codecov」を利用していた企業、ユーザーが使っていた認証情報、トークン、キー等、Bash Uploaderスクリプトが実行されたときにアクセス可能なものや、これらの認証情報、トークン、キーを使ってアクセスできるサービス、データストア、アプリケーションコード等が流出した可能性がある。