Notice and Apology Regarding the Incorrect Display and Leakage of Information Within LINE Official Account
Thai(ภาษาไทย)and Chinese(中文版) follows English
LY Corporation (hereinafter “we,” “our,” or the “Company”) has confirmed the incorrect display of certain information within its LINE Official Account service provided to businesses and merchants (hereinafter the “Issue"), and the accompanying leakage of user and business/store information.
We sincerely apologize for the inconvenience and concern caused to all LINE Official Account users.
The Issue occurred only under specific conditions due to differences between the specifications of the external CDN service*1 we use and our data processing methods. We hereby announce this matter following the completion of a fix by the external CDN service provider*2 and the resolution of concerns regarding potential zero-day attacks.*3
The Issue has already been resolved, and at this time, no secondary damage such as unauthorized use has been confirmed.
*1 An external Content Delivery Network (CDN) service is used to enhance the stability and speed of communications for LINE Chat, which is the chat feature of LINE Official Account, and the LINE Official Account admin screen.
*2 Vulnerability information of the external CDN service: https://www.cve.org/CVERecord?id=CVE-2025-66373
*3 Attacks targeting vulnerabilities in software or systems prior to being fixed.
1. Overview
In the course of identifying and verifying the Issue—conducted both by participants in the LINE Security Bug Bounty Program (https://bugbounty.linecorp.com/en/) and the Company—the vulnerability, in combination with differences between the external CDN service’s specifications and our data processing methods, resulted in an information leakage*4 (including the possibility thereof and only under specific conditions) in which user and business/store information was incorrectly displayed.
*4 In accordance with Japan’s telecommunications regulatory requirements, the incorrect displays of information identified during verification—including those observed by authorized participants in the LINE Security Bug Bounty Program—are treated as "information leakage" for reporting and disclosure purposes.
Affected services:
・LINE Chat,*5 the chat feature of LINE Official Account
・LINE Official Account’s admin screen
*5 A feature that enables businesses and stores to engage in one-on-one communication with users. Chats between users are not included.
Specific conditions under which the incorrect display of information occurred:
When a user accessed the above services via the same communication route as the verifier during the verification timeframe.
Time periods when verification was conducted (JST):
LINE Official Account's chat feature, LINE Chat
・September 19, 2025 (Fri.), 9 am – 11 am
・September 24, 2025 (Wed.), 2 pm – 6 pm
・September 25, 2025 (Thu.), 11 am – 3 pm
LINE Official Account’s admin screen
・September 24, 2025 (Wed.), during the 3 pm hour
The (estimated) probability that an incorrect display of information occurred to a LINE official account during the above time periods is less than 0.001%.
Information that was displayed incorrectly or may have been displayed incorrectly:
User information
- Profile information such as internal identifiers, user names, and profile images
Business and store information
- Information on businesses (or stores) that manage a LINE official account
- Profile information of LINE official account administrators
- Information related to messages sent via LINE official accounts
etc.
Others
・Messages sent and received through LINE Official Account's chat feature, LINE Chat*6 (images, videos, and files are not included)
*6 Messages exchanged between LINE official accounts and users, primarily concerning inquiries related to products and services.
2. Background and response
| September 19, 2025 | Our personnel began an investigation upon receiving notification of the Issue from participants in the LINE Security Bug Bounty Program. |
|---|---|
| September 24, 2025 | We requested the external CDN service provider to investigate the matter and began verification on our side. |
| September 25, 2025 | We initiated containment measures after confirming with the provider. |
| September 29, 2025 | Containment measures on our side were completed. |
| October 31, 2025 | Preventive measures were also implemented on routes where no leakage had been confirmed. |
| November 17, 2025 | The provider completed its fixes, and the resolution of the Issue was confirmed. |
| December 4, 2025 | The provider announced the vulnerability (publication of a CVE). |
| December 9, 2025 | Announcement made with the risk of zero-day attacks resolved. |
3. Recurrence prevention measures
・We requested the external CDN provider to address the communication processing issue that was the cause, and the provider implemented a corrective program.
・On our side, we reviewed the communication processing and proposed fixes to external relevant software used in our systems to prevent similar issues from occurring. In addition to LINE Official Account, we have conducted an investigation into our other services that utilize the same provider’s CDN and have implemented preventive measures accordingly.
・The vulnerability was discovered through a report via our LINE Security Bug Bounty Program, which enabled us to address the issue promptly before attack methods became public. On the other hand, although this program clearly prohibits verification activities that may affect services or other users, verification was conducted in a manner that fell under these prohibitions. As a result, we have temporarily suspended the acceptance of new reports as of December 3, 2025.
・Going forward, we will proceed with a review and redesign of the verification system in a way that balances safety and effectiveness.
4. Notification to the affected parties
The Issue has already been resolved, and at this time, no secondary damage such as unauthorized use has been confirmed.
Furthermore, individuals who identified and reported the Issue have already deleted the information obtained.
If you have received or stored any screen or message that you do not recognize during the verification timeframe, we respectfully request that you delete it. In addition, please exercise caution with respect to any suspicious emails, etc.
5. Contact for inquiries regarding this matter
We are accepting inquiries from users regarding this matter at the contact point below.
https://contact-cc.line.me/category2Id/12698
If the above link does not work properly, please open the page from your browser.
We sincerely apologize once again for the inconvenience and concern caused to our users, businesses, and merchants. LY Corporation takes this matter with the utmost seriousness and will make every effort to prevent a recurrence, while continuing to ensure the delivery of services that our users can trust and use with confidence.
關於「LINE官方帳號」錯誤顯示所導致之資訊外洩事件公告與道歉聲明
本公司於此聲明,針對企業與店家所使用之「LINE官方帳號」服務中,發生部分資訊顯示錯誤(以下簡稱「本事件」),為此,導致使用者資訊及企業、商家資訊有外洩的可能。
對於所有使用「LINE官方帳號」的用戶造成不便與疑慮,本公司謹致上最深的歉意。
本事件係由於本公司所使用之外部CDN服務 ※1之技術特性,與本公司自資料處理方式的差異所引發,但僅在特定條件下發生。目前本公司已確認外部 CDN 服務供應商完成相關修正※2,且因零日(Zero Day)攻擊※3之風險已解除,本公司遂公告本事件。
此外,本事件目前已完全排除,且目前尚未發現任何資料不當使用等二次損害。
※1 「LINE官方帳號」聊天功能「LINE Chat」與其管理後台,為提升通訊穩定性及速度,均使用外部 CDN(內容傳遞網路)服務。
※2 外部 CDN 服務相關弱點資訊:https://www.cve.org/CVERecord?id=CVE-2025-66373
※3 針對尚未修補之軟體或系統弱點所進行的攻擊。
1. 事件概要
本事件係於「LINE Security Bug Bounty Program」(https://bugbounty.linecorp.com/en/)參與者之回報,以及本公司與該計畫參與者共同進行之調查與驗證。由於該弱點及外部 CDN服務的技術特性與本公司的資料處理方式存在差異,在特定條件下,可能發生資訊外洩※4(含可能性)情況,並導致使用者資訊以及企業、商家資訊顯示錯誤的情況。
※4 依據日本電信相關法規要求,在驗證過程中所確認的資訊錯誤顯示—包括由 LINE Security Bug Bounty Program 參與者所觀察到的情況——在通報與揭露上皆被視為「資訊外洩」。
<受影響之服務>
・「LINE官方帳號」聊天功能「LINE Chat」※5
・「LINE官方帳號」管理後台
※5 為企業或商家與使用者進行 1 對 1 聊天的功能,不包含 LINE 使用者之間的對話。
<發生資訊錯誤顯示的特定條件>
在弱點驗證進行期間,使用者與弱點驗證人員位於相同的通訊路徑時,可能發生資訊錯誤顯示的情況。
<驗證進行期間(日本時間)>
「LINE 官方帳號」聊天功能「LINE Chat」
・2025 年 9 月 19 日(五)09:00–11:00
・2025 年 9 月 24 日(三)14:00–18:00
・2025 年 9 月 25 日(四)11:00–15:00
「LINE官方帳號」管理後台
・2025 年 9 月 24 日(三)於下午 3 點時段
於上述時間區段中,預估LINE官方帳號的資訊錯誤顯示發生之機率低於 0.001%
<錯誤顯示或可能被錯誤顯示的資訊>
使用者資訊
・內部識別碼、使用者名稱、個人頭像等個人資料
企業/店家資訊
・「LINE官方帳號」之企業(商家)管理資訊
・「LINE官方帳號」管理者之基本檔案資訊
・「LINE官方帳號」所發佈訊息的相關資訊
其他
・透過「LINE 官方帳號」聊天功能「LINE Chat」所收發的訊息※6(不含圖片/影片/檔案)
※6 包含使用者與官方帳號之間,詢問與商品或服務相關之往來訊息。
2. 事件經過與應變措施
| 2025年9月19日 | 收到「LINE Security Bug Bounty Program」參與者之回報,本公司開始調查。 |
|---|---|
| 2025年9月24日 | 請求外部 CDN 服務商進行調查,並由本公司展開驗證。 |
| 2025年9月25日 | 與該 CDN 服務商確認後,本公司開始著手執行緊急應變措施。 |
| 2025年9月29日 | 本公司完成緊急應變措施。 |
| 2025年10月31日 | 在未確認發生資訊外洩的路徑,也已採取預防措施。 |
| 2025年11月17日 | 外部 CDN 服務商完成修正,本公司確認事件已解除。 |
| 2025年12月4日 | 該服務商公開弱點資訊(CVE 公開)。 |
| 2025年12月9日 | 零日攻擊風險解除,本公司正式公告事件內容。 |
3. 改善與預防措施
・本事件之根本原因為通訊處理異常,本公司已要求外部 CDN 服務商進行修正,並已完成相關程式更新。
・本公司亦重新檢視自身通訊處理方式,並向採用的外部相關軟體提出修正建議,以避免類似問題再次發生。此外,本公司也針對除了「LINE官方帳號」外,其他使用該外部CDN之服務進行調查並採取預防措施。
・由於本事件係經由「LINE Security Bug Bounty Program」計畫參與者的回報發現,使得本公司得以在攻擊手法公開前即時採取因應措施。然而,本計畫明確禁止可能影響服務與其他使用者的驗證行為,但此次事件中的驗證方式已涉及上述禁止事項,因此本公司已於 2025 年 12 月 3 日起暫停受理新的回報。
・後續本公司將重新檢視並設計更完善之驗證機制,以兼顧安全性與實際效益。
4. 對象通知事項
本事件目前已完全排除,截至目前為止,未發現任何資料不當使用等後續損害情況。
此外,報告本事件的相關人員,也已確認刪除其因驗證而可能取得的資訊。
若使用者於驗證期間曾收到與自身無關的畫面或訊息,且已儲存該內容,請立即刪除;並請留意可疑郵件等資訊,以維護自身安全。
5. 本事件相關聯絡窗口
如使用者對本事件有任何疑問,請透過以下窗口聯繫:
https://contact-cc.line.me/category2Id/12698
若無法正常開啟連結,請以瀏覽器開啟。
本公司再次向所有使用者及企業、商家夥伴致上歉意,因本事件造成的不便致上最深切的歉意。我們高度重視本事件,並將全力推動相關的預防措施,持續致力於提供安全、安心的服務環境。
ประกาศชี้แจงและขออภัยเหตุข้อมูลรั่วไหลจากการแสดงผลผิดพลาดของบริการ “LINE Official Account”
ทางบริษัทฯ ขอแจ้งให้ทราบว่า ได้ตรวจพบการแสดงผลข้อมูลบางส่วนผิดพลาดในบริการ “LINE Official Account” สำหรับองค์กรและร้านค้า (ต่อไปนี้เรียกว่า “เหตุการณ์นี้”) ซึ่งส่งผลให้เกิดการรั่วไหลของข้อมูลผู้ใช้บางส่วน รวมถึงข้อมูลขององค์กรและร้านค้าบางราย ทางบริษัทฯ ขออภัยเป็นอย่างสูงต่อความไม่สะดวกและความกังวลใจที่เกิดขึ้นแก่ผู้ใช้บริการ “LINE Official Account” ทุกท่าน
ทั้งนี้ เหตุการณ์นี้เกิดขึ้นภายใต้เงื่อนไขจำเพาะบางประการ อันเป็นผลมาจากความแตกต่างระหว่างคุณสมบัติของบริการ CDN ภายนอกที่บริษัทใช้งาน※1 และวิธีการประมวลผลข้อมูลของบริษัทฯ อย่างไรก็ตาม ผู้ให้บริการ CDN ภายนอกได้ทำการแก้ไขแล้ว※2 เมื่อข้อกังวลเกี่ยวกับความเสี่ยงจากการถูกโจมตีแบบ Zero-day※3 ได้หมดไป ทางบริษัทฯ จึงขอประกาศชี้แจงถึงรายละเอียดอย่างเป็นทางการ
ขณะนี้ เหตุการณ์ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้ว และยังไม่พบความเสียหายเพิ่มเติม เช่น การนำข้อมูลไปใช้งานโดยมิชอบ
※1 บริการ CDN (Content Delivery Network) ถูกใช้ในฟีเจอร์ “แชต” และหน้าจัดการบัญชีของ “LINE Official Account” เพื่อเพิ่มความเสถียรและความรวดเร็วในการรับส่งข้อมูล
※2 ข้อมูลช่องโหว่ของบริการ CDN ภายนอก: https://www.cve.org/CVERecord?id=CVE-2025-66373
※3 การโจมตีที่อาศัยช่องโหว่ของระบบหรือซอฟต์แวร์ก่อนที่จะได้รับการแก้ไข
1. สรุปเหตุการณ์
ระหว่างกระบวนการระบุและตรวจสอบปัญหาดังกล่าว — ซึ่งดำเนินการทั้งโดยผู้เข้าร่วมโครงการ LINE Security Bug Bounty (https://bugbounty.linecorp.com/en/) และโดยบริษัทฯ พบว่า ช่องโหว่ดังกล่าวเกิดจากความแตกต่างด้านคุณสมบัติของบริการ CDN ภายนอก กับกระบวนการประมวลผลของบริษัทฯ ทำให้ข้อมูลผู้ใช้และข้อมูลองค์กร/ร้านค้าบางส่วน อาจถูกแสดงผลให้บุคคลอื่นเห็นได้ (รวมถึงการแสดงผลที่อาจคลาดเคลื่อนจากความเป็นจริง) ※4
※4 ตามข้อกำหนดด้านกฎระเบียบโทรคมนาคมของประเทศญี่ปุ่น การแสดงข้อมูลไม่ถูกต้องที่พบระหว่างการตรวจสอบ—รวมถึงกรณีที่ผู้เข้าร่วมโครงการ LINE Security Bug Bounty ที่ได้รับอนุญาตพบเจอ—จะถูกจัดให้เป็น “การรั่วไหลของข้อมูล” สำหรับการรายงานและการเปิดเผยข้อมูลตามข้อบังคับ
<บริการที่ได้รับผลกระทบ>
・LINE Chat และ ฟีเจอร์ “แชต” ของ “LINE Official Account”※5
・หน้าจัดการบัญชี “LINE Official Account”
※5 ฟีเจอร์ที่องค์กรหรือร้านค้าสามารถสื่อสารแบบ 1:1 กับผู้ใช้ได้ ไม่รวมการสนทนาระหว่างผู้ใช้ด้วยกัน
<เงื่อนไขเฉพาะที่อาจทำให้เกิดการแสดงผลผิดพลาด>
เกิดขึ้นเฉพาะเมื่อผู้ใช้บริการใช้ช่องทางการสื่อสารเดียวกับผู้ทดสอบความปลอดภัยในช่วงเวลาที่มีการตรวจสอบ
<ช่วงเวลาที่มีการตรวจสอบตามเวลาประเทศญี่ปุ่น> (ตามเวลาในประเทศญี่ป่น)
ฟีเจอร์ “แชต” ใน “LINE Official Account”
・19 กันยายน 2025 (ศุกร์) เวลา 9:00 – 11:00 น.
・24 กันยายน 2025 (พุธ) เวลา14:00 – 18:00 น.
・25 กันยายน 2025 (พฤหัสบดี) เวลา 11:00 – 15:00 น.
หน้าจัดการบัญชี “LINE Official Account”
・24 กันยายน 2025 (พุธ) ช่วงเวลา15:00 น.
มีการประมาณการความเป็นไปได้ของการแสดงผลผิดพลาดของข้อมูลบน LINE Official Account ในช่วงเวลาดังกล่าวนั้นน้อยกว่า 0.001%
<ข้อมูลที่แสดงผลผิดพลาดหรืออาจแสดงผิดพลาด>
ข้อมูลผู้ใช้
・ข้อมูลโปรไฟล์ได้แก่ข้อมูลภายในสำหรับระบุตัวตน, ชื่อผู้ใช้และรูปโปรไฟล์
ข้อมูลองค์กร/ร้านค้า
・ข้อมูลขององค์กร/ร้านค้าที่เป็นผู้ดูแล “LINE Official Account”
・ข้อมูลโปรไฟล์ของผู้ดูแลบัญชี
・ข้อมูลที่เกี่ยวข้องกับข้อความที่ส่งผ่าน “LINE Official Account”
อื่น ๆ
・ข้อความที่ส่งและรับผ่านฟีเจอร์แชทบน LINE Official Account และ LINE Chat “แชต”※6 (ไม่รวมภาพ/วิดีโอ/ไฟล์)
※6 รวมถึงข้อความสอบถามเกี่ยวกับสินค้า/บริการ ระหว่างผู้ใช้งานและบัญชี “LINE Official Account”
2. ลำดับเหตุการณ์และการดำเนินการ
| 19 กันยายน 2025 | ได้รับแจ้งจากผู้ร่วมโครงการ “LINE Security Bug Bounty” และเริ่มการตรวจสอบ |
|---|---|
| 24 กันยายน 2025 | แจ้งผู้ให้บริการ CDN ภายนอกเพื่อตรวจสอบ และเริ่มตรวจสอบภายใน |
| 25 กันยายน 2025 | เริ่มดำเนินมาตรการหยุดยั้งปัญหาหลังยืนยันข้อมูลร่วมกัน |
| 29 กันยายน 2025 | ดำเนินการหยุดยั้งปัญหาเบื้องต้นเสร็จสิ้น |
| 31 ตุลาคม 2025 | ดำเนินมาตรการป้องกันเพิ่มเติม แม้ในช่องทางที่ยังไม่พบความเสียหาย |
| 17 พฤศจิกายน 2025 | ผู้ให้บริการ CDN ภายนอกแก้ไขชองโหว่เสร็จสิ้น บริษัทฯ ยืนยันเหตุการณ์ได้รับการแก้ไข |
| 4 ธันวาคม 2025 | ผู้ให้บริการ CDN ชี้แจงข้อมูลช่องโหว่ดังกล่าวต่อสาธารณะผ่าน CVE |
| 9 ธันวาคม 2025 | บริษัทฯ ประกาศชี้แจง หลังลดปัจจัยความเสี่ยงต่อการถูกโจมตีแบบ Zero-day เสร็จสิ้น |
3. มาตรการป้องกันการเกิดซ้ำ
・บริษัทฯ ได้ร้องขอให้ผู้ให้บริการ CDN ภายนอกแก้ไขข้อบกพร่องด้านการประมวลผลการสื่อสาร และผู้ให้บริการได้ดำเนินการแก้ไขเรียบร้อยแล้ว
・บริษัทฯ ได้ทบทวนขั้นตอนการประมวลผลขั้นตอนการสื่อสารข พร้อมเสนอการปรับปรุงซอฟต์แวร์อื่นที่เกี่ยวข้องบนระบบของเรา เพื่อป้องกันการเกิดข้อผิดพลาดในลักษณะเดียวกัน ซึ่งนอกเหนือจาก LINE Official Account เรายังได้ตรวจสอบบริการอื่นของบริษัทฯ ที่ใช้ CDN รายเดียวกัน และดำเนินมาตรการเชิงป้องกัน
・ช่องโหว่ดังกล่าวถูกรายงานผ่านโครงการ “LINE Security Bug Bounty” ทำให้บริษัทฯ สามารถดำเนินการแก้ไขก่อนที่วิธีการโจมตีจะถูกเผยแพร่สู่สาธารณะ อีกด้านหนึ่ง แม้ว่าหลักเกณฑ์ของโปรแกรมจะห้ามไม่ให้มีการทดสอบที่อาจส่งผลกระทบต่อบริการหรือผู้ใช้รายอื่นอย่างชัดเจน แต่การตรวจสอบที่เกิดขึ้นกลับดำเนินการในลักษณะที่เข้าข่ายข้อห้ามดังกล่าว
บริษัทฯ จึงได้ระงับรายงานใหม่ชั่วคราวตั้งแต่วันที่ 3 ธันวาคม 2025
・บริษัทฯ จะดำเนินการทบทวนและออกแบบระบบการตรวจสอบใหม่ เพื่อให้สามารถรักษามาตรฐานด้านความปลอดภัยและประสิทธิภาพได้อย่างสมดุล
4. การแจ้งเตือนผู้ที่เกี่ยวข้อง
เหตุการณ์นี้ได้รับการแก้ไขแล้ว และปัจจุบันยังไม่พบความเสียหายเพิ่มเติม เช่น การนำข้อมูลไปใช้โดยมิชอบ
นอกจากนี้ บุคคลที่ตรวจพบและรายงานปัญหาดังกล่าวได้ลบข้อมูลที่ได้รับทั้งหมดแล้ว
หากท่านพบข้อความหรือหน้าจอแสดงผลที่ไม่คุ้นเคย ที่ถูกบันทึกไว้ในช่วงเวลาที่มีการตรวจสอบดังกล่าว กรุณาลบหรือทำลายข้อมูลดังกล่าว และโปรดระมัดระวังอีเมลหรือข้อความที่น่าสงสัย
5. ช่องทางติดต่อสอบถาม
สำหรับผู้ใช้ที่มีคำถามเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ สามารถติดต่อได้ที่:
https://contact-cc.line.me/category2Id/12698
หากไม่สามารถเปิดลิงก์ได้ กรุณาคัดลอกลิงก์เพื่อเปิดผ่านเว็บเบราว์เซอร์
บริษัทฯ ขออภัยอย่างยิ่งต่อผู้ใช้ รวมถึงพันธมิตรองค์กรและร้านค้าทุกท่าน สำหรับความไม่สะดวกและความกังวลจากเหตุการณ์นี้ บริษัทฯ ตระหนักถึงความสำคัญของเหตุการณ์ดังกล่าว และจะมุ่งมั่นดำเนินมาตรการเพื่อป้องกันไม่ให้เกิดซ้ำ เพื่อให้ทุกท่านสามารถใช้บริการของเราได้อย่างมั่นใจและปลอดภัย
Unless otherwise specified, English-language documents are prepared solely for the convenience of non-Japanese speakers. If there is any inconsistency between the English-language documents and the Japanese-language documents, the Japanese-language documents will prevail.