ヤフーは4月24日、Yahoo!ディスプレイアドネットワークで広告配信先レポート機能で、広告主がオンラインストレージサービスのダウンロードページURLを確認できる状態にあったと発表した。オンラインストレージサービスでは、ユーザーがファイルをアップロードすると個別のダウンロードページURLが発行されるが、ユーザーが意図しない形で第三者にURLを知られた形になる。
Yahoo!ディスプレイアドネットワーク(YDN)は、Yahoo! JAPANや主要提携サイトのコンテンツページに広告を配信するサービス。同社では、広告がどの掲載面に表示されているかを確認できる広告配信先レポート機能を提供しており、YDNの広告が表示された掲載先URLを広告主が確認することが可能だった。
ヤフーは20日に、URLを指定することで広告の配信先を制御できる機能「プレイスメントターゲティング」を追加。しかし、この機能によって、広告配信先レポートに記載されていた広告配信先のオンラインストレージサービス「firestorage」と「sharedfile.jp」のURLに、同サービスを使ってユーザーがアップロードしたファイルが意図しない相手に閲覧される可能性があったことが判明した。
firestorageでは、20日~23日まで、sharedfile.jpでは、漏えいが始まった日は調査中であるものの23日まで閲覧された可能性があることが分かっている。同社は、23日に広告配信先レポート機能を一時的に停止している。
ヤフーはレポートを出力した広告主に対して、当該レポートの削除依頼を要請しており、オンラインストレージサービスのダウンロードページでの広告掲載も一時的に停止した。
同社では再発防止策として、広告配信先レポートの機能改善や掲載パートナーへの更なる注意喚起を行うとともに、掲載パートナーへの広告配信システム上での対応を検討している。