メルカリは5月21日、第三者からの不正アクセスがあったとし、約2万7千件の個人情報が外部流出したと発表した。
流出した情報は、フリマアプリ「メルカリ」で2013年8月5日~2014年1月20日に取引が行われた売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人、振込金額)1万7085件、2015年11月~2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、メールアドレスなど)217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7966件、当社子会社を含む一部従業員に関する情報2615件。
メルカリは、同社が利用している外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスがあったとしている。「Codecov」を運営するCodecov LLCは4月15日に、Bash Uploaderスクリプトが第三者によって定期的に不正に変更される事象が1月31日より発生していると発表。
また4月23日、メルカリが利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されていた同社のソースコードの一部も影響を受けている可能性がある旨の通知を受けた。ログ調査の結果、第三者がメルカリの認証情報を不正に取得・流用し、「GitHub」上に格納されていたソースコードの一部に不正アクセスしていたことが判明したという。
メルカリは現在、「Codecov」の利用を停止させているほか、不正にアクセスされた全認証情報の調査および初期化、流出した情報の対象者への案内と専用窓口の設置などの対応をしている。