クラファンサイト「CAMPFIRE」、不正アクセスによる個人情報漏えいの可能性、最大22万件超

　株式会社CAMPFIREは4月24日、同社のGitHubアカウントへの不正アクセスにより、個人情報が漏えいした可能性があると発表した。

　4月2日に、同社でシステム管理に使用しているGitHubアカウントへの不正アクセスがあり、一部のソースコードが閲覧された可能性があるとして、同社では4月3日に情報を発表していた。その後の調査により、同社のクラウドファンディングサイト「CAMPFIRE」を過去に利用したプロジェクトオーナーやコミュニティオーナー、支援者の個人情報が漏えいした可能性があるという。

　漏えいした可能性がある内容は、次の通り。これは、直接の不正アクセス先であるデータベースに存在した情報をもとにシステムを網羅的に調査したところ、データベースへのアクセスおよび内部処理の形跡が確認されたもの。発表時点で、データファイルのダウンロードは確認されていないという。

プロジェクトオーナー、コミュニティオーナーの個人情報

2021年2月～発表時点の期間にプロジェクトを作成した人、12万929件。氏名、住所、電話番号、メールアドレス、口座情報が含まれる。

支援者の個人情報。

2021年1月～発表時点の期間にPayPal決済を利用した人、あるいは、2022年1月～2023年1月までにこんど払いを利用した人、あるいは、2022年1月～2026年3月までにCAMPFIREから口座送金で返金を受け取った人、13万155件。氏名、住所、電話番号、メールアドレス、口座情報が含まれる。

同社パートナーの個人情報

2025年3月5日までにCAMPFIREに登録した人、1282件の氏名。

　以上の単純な合計では25万件を超えるが、ユニーク件数は22万5846件だという。なお、クレジットカード情報は含まれないとしている。

　同社では、対象者に順次個別に連絡する。また、二次被害防止のため、不審な連絡に注意するとともに、銀行口座の取引明細の確認とパスワードの変更を呼び掛けている。

　本件ではこのほか、4月14日発表の第2報において、取引先に係る氏名・連絡先情報1件と、開発業務の従業者の氏名・メールアドレス413人分が、不正アクセスを受けたGitHubアカウントから閲覧可能な状態にあったと発表している。