korean（한국어） follows English

Notice regarding an issue caused by an incorrect set up on an external service used by the former LINE Corporation

We have discovered that, due to the incorrect API^*1 set up of an external service used by the former LINE Corporation for IT asset and inquiry management, some employee^*2 information was accessible from outside of the company.

We have already taken measures to correct the API set up that caused the issue.

1. Overview

We discovered the incorrect set up which enabled the data to be accessible from outside if certain operations were performed through a report made to LINE Security Bug Bounty Program.^*3

The following information was externally accessible:

• Information regarding employees: names, email addresses, titles
• Information regarding internal inquiries: attached file names, names of satisfaction survey on inquiry handling, survey respondents’ names

Please note that user and business partner information was not included.

We have already taken measures to correct the API set up that caused the issue, so that employee information is no longer externally accessible.  

2. Occurrence and Response Time (Japan Time)

October 18, 2023:

• The incident was reported by a participant in the LINE Security Bug Bounty Program.
• Started on investigation based on the report.
• Changed the API setting which enabled external access, to block external access.

October 19, 2023:

• Confirmed that all the settings had been changed in all environments that used the service.

January 18, 2024

• Made a public announcement regarding the issue.

3. Notice to affected employees

The employees who have been affected will be individually notified.

This announcement will serve as a notification and apology to those affected who have left the company or who cannot be contacted due to other reasons.

Although no secondary damage has been confirmed as of now, including an increase in phishing attacks, we advise people to be careful of phishing emails and scams that may be sent to your email address.

4. Inquiries regarding this matter

For inquiries regarding this matter, please contact us via the below link:
https://form.line.me/01HKVV1KCQFW3VYM5SJB0X65T3

We deeply apologize for any inconvenience or concern this caused. We will continue to learn from this experience and work hard to prevent similar issues in the future.

Please note that this issue is not related to the issue announced in November, “Notice and apology regarding information leakage due to unauthorized access.”

^*1  API stands for "application programming interface", which allows two or more computer programs to communicate with each other.
^*2 Employees of LY Corporation, LY Group companies and affiliated companies, subcontract employees and temporary staff.
^*3   We receive reports from external security researchers regarding vulnerabilities on LINE messenger or website that can be detected early to provide secure services to users. (https://bugbounty.linecorp.com/en/)

구 라인 주식회사가 사용 중인 외부 서비스의 설정 미흡에 관한 공지

구 라인 주식회사에서 IT 자산 관리용으로 사용 중인 외부 서비스의 API^*1 설정 미흡으로 인해, 등록된 임직원^*2 정보가 외부에서 취득 가능한 상태였던 것으로 확인되었습니다.

해당 건의 원인이었던 API 설정은 수정 완료되었습니다.

1. 사건 개요
구 라인 주식회사는 사내 자산 관리 및 사내 문의 관리를 목적으로 외부 서비스를 활용해 오던 중, 당사의 API 설정 미흡으로 인해 임직원 정보가 외부에서 추출 가능한 상태에 있었음을 파악하였습니다.

LINE Security Bug Bounty Program^*3에 접수된 보고를 통해, 특정 조작을 하면 외부에서 데이터를 추출할 수 있게 만든 설정 상의 문제를 확인하였습니다.

외부에서 취득 가능한 상태였던 정보는 다음과 같습니다. 지금은 외부에서 임직원 정보 등을 취득할 수 없도록 설정 변경 완료된 상태입니다.

<임직원에 관한 정보>
이름, 메일 주소, 직책명

<사내 문의에 관한 정보>
첨부 파일명, 문의 처리 만족도 서베이 제목, 서베이 응답자명　
※사용자 정보 및 파트너사 정보는 포함되지 않습니다. 

2. 시간별 대응 (일본 시간 기준)
■2023년 10월 18일
・LINE Security Bug Bounty Program 참가자의 보고를 통해 사안 인지
・담당자가 보고를 받아 조사 시작
・외부에서 접근 가능하게 설정되어 있던 기능을 외부에서 접근할 수 없도록 설정 변경 

■2023년 10월 19일
・모든 사용 환경에서 설정 변경되었음을 확인

■2024년 1월 18일
・이번 사안에 관한 공표 실시

3. 대상자에 대한 공지
대상 임직원에게는 개별 연락드릴 예정입니다. 퇴사 등으로 개별 연락이 어려운 분들께는 이 공표로 안내를 대신하겠습니다.

본건으로 인한 피싱 피해 등의 증가 등의 2차 피해는 아직까지 확인되지 않았으나 유출된 메일 주소로 제3자에게 의심스러운 메일, 사기 메일 등을 받을 가능성이 있으므로 주의해 주시기를 당부드립니다.

4. 본건에 관한 문의
본건 관련 문의사항은 아래로 연락해 주시기 바랍니다.
https://form.line.me/01HKVV1KCQFW3VYM5SJB0X65T3

임직원 여러분께 큰 심려와 불편을 끼쳐드린 점 깊이 사과드립니다. 발생한 사안에 대해 깊이 반성하고 재발 방지를 위해 노력하겠습니다.

※ 본건은 11월 27일 공표된 ‘부정 액세스에 의한 정보 유출에 관한 안내 및 사과(Notice and apology regarding information leakage due to unauthorized access)’와는 관련 없습니다.

*1　웹서비스 및 시스템 등을 프로그램으로 연동시키기 위한 인터페이스.
*2　LY 주식회사, LY 그룹사 및 관계사 임직원, 위탁 및 파견직 포함.
*3　외부 보안 전문가의 보고를 통해 메신저 앱 ‘LINE’ 및 웹사이트에 존재하는 취약점을 조기에 발견해 사용자에게 더욱 안전한 서비스를 제공할 목적으로 마련된 프로그램.
https://bugbounty.linecorp.com/ja/