ヤフオク! 落札者情報が取得可能、API 仕様不備

ヤフー株式会社は4月26日、一部のAPIサービスの仕様不備について発表した。

インシデント・事故インシデント・情報漏えい

2021年5月6日（木） 09時00分

トップページ
リリース（一部のAPIサービスの仕様不備と解消のお知らせ）

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く
「落ちていたので」と手紙が届く～中学校の教育相談アンケート票を紛失

ヤフー株式会社は4月26日、一部のAPIサービスの仕様不備について発表した。

これは同社が運営する「Yahoo! JAPAN」が、利用規約を承諾した外部の開発者に提供している一部のAPIサービスを通して、2016年10月19日から2021年4月23日の期間、「ヤフオク!」落札者のYahoo! JAPAN ID、落札した商品タイトルの取得が可能であったという仕様不備が確認されたというもの。

同社では仕様不備の対象となる可能性のある顧客に対し、準備メールにて連絡を行う。

なお同社では既に、情報を取得できない仕様に変更し本事象は解消しており、APIサービスを含む同社サービスの利用に際し、ユーザーに無断で個人情報を収集・蓄積する行為は利用規約で禁止されているとのこと。

《ScanNetSecurity》

ソース・関連リンク

一部のAPIサービスの仕様不備と解消のお知らせ

Yahoo! よ、常時暗号化に関しては良くやった。さて、君たちが本当にするべきだったことを語ろう～ウェブメールプロバイダの HTTPS 移行はあまりに些細で、あまりに遅い（The Register）2014.1.17 Fri 8:30
クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性2021.4.27 Tue 8:00
クラウド型問い合わせ管理システムに設定不備、約1年間第三者からのアクセスが可能に2021.2.15 Mon 8:00
「Salesforce」のセキュリティ設定不備を突き「東村山防災navi」に第三者から不正アクセス2021.2.22 Mon 8:00

Scan PREMIUM 会員限定記事

研修・セミナー・カンファレンス 2024.5.2(Thu) 8:10
ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

　日本で監視カメラや CCTV と言えば、要監視施設等に設置してそれを録画して、何かあったら再生するという、インターネットもパソコン通信もなかった時代のスタンドアロン PC のような貧しい使い方しか想像力が及ばない。しかし中国や合衆国のような、治安維持のための人権制限を合法とする国では、街頭や交通機関、店舗、オフィスなど都市の至る所に設置した画像を XDR や SOC のように集積し、かなりドラスティックな解析を行う。
今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

3 月に最も件数換算の被害規模が大きかったのは、株式会社ダイヤモンド社による「ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ」の約 70,000 件だった。
2024.4.25(Thu) 8:10
Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

　2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
2024.4.24(Wed) 8:10
訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

　彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。

　ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。
2024.4.23(Tue) 8:10