他のユーザーにセッションが共有される不具合で個人情報が漏えい（ジェイ・スポーツ）

株式会社ジェイ・スポーツは3月29日、3月27日にシステム不具合による個人情報漏えいが発生したと発表した。

これはキャッシュ処理の不具合により、3月27日午前5時30分頃から3月28日午後0時頃にJ SPORTSオンデマンドウェブサイトにログインしたユーザーのセッションが、同時間帯にログインした他のユーザーに共有される状態となったというもの。これにより、他のユーザーの名前、視聴履歴、購入商品、クレジットカード下4桁と有効期限が閲覧可能になり、購入と解約処理が、他のユーザーのものとして扱われたという障害が発生した。

個人情報の漏えいの対象となるのは、該当時間内のログイン総数2,425件のうち一部ユーザーの個人情報で、商品購入と解約処理の対象となるのは、該当時間内の購入125件のうち一部の購入と該当時間内の解約112件のうち一部の解約。

同社では28日午後0時頃の本件発覚後に、被害拡大を防ぐために決済機能とマイページ機能を一時的に停止し、新規の契約と登録情報を参照・変更できないように対応しサーバー側のキャッシュ機能を一部解除、同日午後9時5分頃には不具合を解消し決済機能とマイページ機能を再公開した。

同社では障害時間内に購入された125件の商品は3月末で自動的に解約とし全額返金し、対象の顧客には別途個別に案内する。また該当時間内にログインしたユーザーへは、契約情報を確認するよう呼びかけている。