【漏洩なう】ユニクロ行列漏洩騒ぎのまとめ


大手アパレルメーカー「ユニクロ」のキャーンペンサイト「Uniqlo Lucky Line」で発生した漏洩騒動をまとめてみました

「行列なう」しちゃった人は、「なにがあったの?」と「どうしたらいいの?」の項目をとりあえず読んで下さい。

なにがあったの?

Uniqlo Lucky Lineってなに?

どうしたらいいの?

  • 応募した人は念のためTwitterのパスワードを変えておくこと
    • キャンペーンサイトからパスワードは漏洩していないけど、どこかで傍受されてたらアウトなので一応。
    • ID=パスワード にしてる子や、0123みたいなカンタンなパスワードにしてる人は今すぐ変えような!

まとめ

  • twitterのIDとパスワードを要求してくるようなサイトは用心すべし
    • 「信用できるサイトってどんなの?」と悩んだら、とりあえず渡さないほうが吉かと
    • OAuthというパスワードを書かなくても認証できるシステムがあるのに、TwitterのIDと生パスワードを要求してくる男の人って・・・
    • じゃあOAuthなら大丈夫?いやそうでもないよ?
  • いまどきOAuthも使えないプロモーションサイトはもはや嘲笑対象
    • Basic認証は6月末で死滅するし時間の問題か

Uniqlo Lucky Lineが抱える問題点(上級者向け)

  • IDとパスワードを預けてた先がユニクロとは関係のない他の会社
  • なのに「他の会社に預けますよ」みたいなのがどこにも明記されてない
  • IDとパスの通信が暗号化されてなくて、経路を傍受すればIDパス見放題
  • OAuthを実装する労力を省いた結果がコレだよ!
    • Uniqloみたいな大企業が、OAuthを実装するお金もないなんて・・・

改訂履歴

  • 5/26 14:03 初版公開
  • 5/26 16:09 不安を煽るような表現を削除。OAuthの例を追加。ユニクロのプレスリリースを追加。
  • 5/26 18:12 「まとめ」の項目の、用心すべきサイトについての表現を変えた。
  • 5/26 20:07 「どうしたらいいの?」に、パスを変えるべき理由を補足。


2 Comments

  1. 問題点として特定のテーマでの個人行動をまとめた情報が漏洩したということはいかがですか?
    もちろん全ての twitter TL を収集しているばそういうことも可能ですが、現実的にそれが簡単に誰にでも手に入る状態になってしまったということがセキュリティの問題として興味深いと思います。
    http://volatter.com/uniqlo.html

  2. SSLじゃないからパスワード見放題というのは、ユニクロに限らずどこにでもあるような。
    また、OAuthを採用しなかった理由は技術的や金銭的な理由より認証画面を出したくなかったという理由かも。
    推奨されていないとはいえxAuthが提供されるくらいだし、認証画面を出したくないというのはわかる。
    要は「漏洩騒ぎ」するほどのことではないと思うけど、Twitter、ユニクロという名前が事を大きくしてしまったのかな。
    ただしデータファイルをWebに公開していたのはカッコ悪い。
    あと不安を煽っておもしろがるのもカッコ悪い。

Comments are closed.

© 2017 uinyan.com

Theme by Anders NorenUp ↑