CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない

[shinagaki]

失敗事例を公開する姿勢は素晴らしい

[halfrack]

極めてインパクトある経験の共有で価値がある、ありがたく他山の石としたい･･･。追記:動的ページも含め全部 CDN 通すのは DDoS 対策として一般的な手法ですね。

[HILOKI-T]

技術的原因まで詳述された「お詫び」は門外漢による不当な罵倒を排除する効能があることがよくわかった。

[konisimple]

メルカリの件、CDNの切り替えで Cache-control の扱いが変わったのが原因だったとのこと。個人情報流出はダメだけど、エンジニアとしてはちょっと気持ちわかる。そしてここまで詳細に原因書いてて凄い。

[ockeghem]

『Expiresヘッダが過去の日付であっても、Cache-Controlヘッダが存在している場合は利用されないという仕様になっておりました』<具体的な説明ありがたい

[djkaz]

所詮メルカリだし、どーせ形だけのお詫びなんだろうと思ったら、教科書のような細かい、というか技術的バックグラウンドを必要とするレベルの内容だった。運営的には色々言われてるけど、しっかりしてる印象を受けた

[yutamoty]

このような正しいエンジニアから、あのようなカオスなサービスが生まれたのかという気持ちです。

[manaten]

ユーザー個別の情報もCDN通すんだ・・・という感想 / WAFとか証明書のために使う、というのを教えてもらった。なるほど

[mh615033891]

Cache-controlでアクセスコントロールしようとするのがそもそも変なんだけど。

[taketyan]

動的なページに CDN 通すの怖過ぎないですか... / なるほど DDoS 対策

[ktr89]

こういう共有いい

[L3msh0]

これ単にキャッシュさせない意図でno-cacheを使うのが間違い(正しくはno-store)っていう話だよね？/ Fastlyはno-storeでもキャッシュするらしい https://community.fastly.com/t/fastly-ttl/882

[oh240]

cacheを扱うので改めて勉強中

[takeshi777333]

個人情報流出は怖いですねm(__)m

[thatblue]

まーこういう事例で技術情報公開してもらえるのは業界としてはありがたいよね。いい喩えかわかんないけど事故事例集みたいな。(あとで読む用のブクマ)

[rizenback000]

ちゃんとした技術屋さんと広報がおるんやなって正直見くびってた…

[asakura-t]

訂正がきてた。どうやって外部からの監視で検知するのか（正当性を判断するのか）が気になった。

[niwatako]

“キャッシュの有効期限が0秒となる場合、CDNからオリジンへのリクエストの処理中に、同じURLに対してリクエストが発生すると、最初のレスポンスを待って、2つ目以降のリクエストにも同じレスポンスが返される”

[drylemon]

コーポレートサイトと合わせて読了。私の知識では、そもそもの設計、テスト、再発防止策の妥当性判断まではできないが、技術者と企画、広報サイドがちゃんと連携とれているみたいで良いなぁと思いました。

[cubed-l]

privateのみ？no-storeは無視？

[versatile]

勘違いしてはいけないが、技術的な原因を公開したからって起こった現象についての消費者の不利益はなにも変化しない

[gosho-kazuya]

ちゃんと説明するのすごいなあ

[itochan]

何人で作業したのかとかは書いてない。何人で検証したのかとかは書いてない。

[bleu-bleut]

Cache-Controlはno-cacheではなく、private。

[raitu]

メルカリの技術面の信頼性

[ryochack]

技術的原因を公開しているの素晴らしい

[orihime-akami]

pixiv / apolloの問題と同類項の気がする。怖い。／平時にこれが起きたら全力で叩くのみだけど、切り替えやトラブル対処のイレギュラーで起きるのを避けようとすると外形検査くらいしか手はない気がする。

[typex2]

再発防止策がおかしい。商用リリース後に監視しても情報が漏洩した後になってからの発見になるので根本的対策にはならないので、商用リリースする前にきちんとテストするべきだと思うんだけど。。

[catnapper_mar]

キャッシュ無効設定が「ユーザ体験の向上」ってのは違和感ある。普通逆だから。

[Derabon]

真正面から問題に答えていて印象が良かった。自分の知見にもなりました。

[komz]

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして

[ka-ka_xyz]

しかしまー、機微情報が乗ってる動的生成ページ（あるいはデータ）をサーバ側キャッシュに乗っけるとかいうあたり、イントラ内Webアプリ屋からしたら異世界の話だなあ。キャッシュ使うなら、何かトークンで管理する感

[dltlt]

「CDNによる意図しないキャッシュ」

[lazex]

詳しい原因とかまで公開してくれるのはいいねー。メルカリユーザじゃなくてもサービス作る上での注意点とかわかるし

[baronhorse]

理由はわかったけど被害者にはどうお詫びするのかね

[iuhya]

メルカリ特に好きじゃないけど、見直したわ。

[zu2]

“コンテンツキャッシュをしているCDNのプロバイダ切り替えを行い" "その際本来キャッシュされるべきでない情報がCDN側にキャッシュされてしまい、該当時間帯にアクセスしたお客さまに、他のお客さまの情報が表示”

[yzx]

no-cache無視するのはブラウザには毎回リクエスト送信させてCDNのサーバでキャッシュを返して欲しい場合があるから？紛らわしいからキャッシュしない指示はCache-Controlではなく独自ヘッダにしてほしいな

[houyhnhm]

調査（仕様確認）漏れ、修正漏れ、テスト漏れ。根本には、技術者の知識優先検証軽視があるかと思う。どうやってCDNの選定を行ったの？とかも考える必要があるかな。まあ、テスト重視が一番いいと思うけど。

[miragestlike]

ブコメが勉強になります