2023年8月21日
2023年8月19日、SHOPCOUNTERにおいて、一部のお客様の個人情報が他者から閲覧可能な状態になっていることが判明いたしました。
このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
緊急の修正作業と対策を行い、2023年8月19日午前2時30分に解消したことを確認いたしました。
本件は不正アクセス等により発生したものではなく、また、現時点で第三者による不正利用などは確認されておりません。
経緯および行った対策については以下の通りです。
2022年2月14日以降にアカウント設定内の基本情報画面(該当画面のURL:https://shopcounter.jp/accounts/profile)にアクセスされた方(15,040訪問者数)の一部
影響のある登録情報
SHOPCOUNTERにご登録の氏名、電話番号、住所
※ クレジットカード情報、SHOPCOUNTERのご利用履歴などは含まれておりません。
本件に関するお問い合わせは、下記窓口までご連絡ください。
support@shopcounter.jp
2023年8月18日23時54分、アカウント設定の基本情報画面にて、他の人の情報が閲覧可能であることがお客様からの問い合わせにより発覚いたしました。
発覚後、該当画面をメンテナンス状態とし、原因調査と修正の対応を行いました。
2022年2月14日 | 15:30 | 原因となる変更のリリース |
2023年8月18日 | 23:54 | お客様からの問い合わせ |
2023年8月19日 | 00:00 | 社内担当者が問い合わせを認知、調査を開始 |
01:08 | 該当箇所をメンテナンス状態に | |
02:15 | 原因を特定し修正を完了 | |
02:30 | メンテナンスを終了 |
ページに情報を表示する際、特定の条件下でキャッシュされた情報が一時的に閲覧可能となる場合があったことが原因となります。
当該ページでは、ユーザ認証用のAPI を通じて取得されたデータを元に登録情報を表示するHTML を生成してクライアントに返却しております。
このHTMLが意図せずサーバー側でキャッシュされており、ご利用者様本人の正しい登録情報を取得する処理に失敗した場合に、すでに生成済みのHTMLが配信され別の方の登録情報が閲覧可能な状態になっておりました。
当該変更は2022年2月14日に行われており、通常は正しい登録情報が表示される仕様となっておりますが、ページ表示の際、通信環境が低速または切断されるなど正しい登録情報の取得に失敗、かつ同一時間帯に複数名のアクセスがあった場合のみ、同一時間帯にアクセスした別の方の登録情報を閲覧可能な状態となっておりました。
現在はサーバーでキャッシュを保存しないよう修正を完了しており、同様の事象が発生しないことを確認しております。
今後の再発防止のため、開発内容のチェック体制の強化と定期的な第三者機関による調査を行ってまいります。
このような事態が発生したことにより、お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
今後このようなことがないようチェック体制の強化、再発防止に努めてまいります。
本件に関するお問い合わせは、下記窓口までご連絡ください。
support@shopcounter.jp