大手アパレルメーカー「ユニクロ」のキャーンペンサイト「Uniqlo Lucky Line」で発生した漏洩騒動をまとめてみました
「行列なう」しちゃった人は、「なにがあったの?」と「どうしたらいいの?」の項目をとりあえず読んで下さい。
なにがあったの?
- 応募したユーザーのTwitter IDとツイートが書かれたテキストファイルが漏洩した
- 漏れた範囲は応募者全員。現在は「最初の400人」と「直近の400人」の計800人分のリストが見えている。
- パスワードは漏れていない
- ユニクロ側は問題を認識し、「現在対応中」とのこと
- Twitter / ITmedia News: ユニクロのTwitter連携“行列”サイト「UNIQ …
- (16:09追記) プレスリリースでました プレスリリース – UNIQLO ユニクロ
Uniqlo Lucky Lineってなに?
- ユニクロのキャンペーンサイト。TwitterのIDとパスワードを入力させると、キャンペーンに応募できるしくみ。
- 詳しくはこちら。
どうしたらいいの?
- 応募した人は念のためTwitterのパスワードを変えておくこと
- キャンペーンサイトからパスワードは漏洩していないけど、どこかで傍受されてたらアウトなので一応。
- ID=パスワード にしてる子や、0123みたいなカンタンなパスワードにしてる人は今すぐ変えような!
まとめ
- twitterのIDとパスワードを要求してくるようなサイトは用心すべし
- 「信用できるサイトってどんなの?」と悩んだら、とりあえず渡さないほうが吉かと
- OAuthというパスワードを書かなくても認証できるシステムがあるのに、TwitterのIDと生パスワードを要求してくる男の人って・・・
- じゃあOAuthなら大丈夫?いやそうでもないよ?
- OAuthってのはこんなやつ
- OAuthを預けると、預けられた側はDM見たり勝手にツイートできたりアカウント削除できたりする
- 後から認証を取り消せるという点では、ID/パスワードを直で預けるよりマシ
- 詳しい人向け資料:twitter の OAuth で思ったより豪快に認可してしまっている件
- いまどきOAuthも使えないプロモーションサイトはもはや嘲笑対象
- Basic認証は6月末で死滅するし時間の問題か
Uniqlo Lucky Lineが抱える問題点(上級者向け)
- IDとパスワードを預けてた先がユニクロとは関係のない他の会社
- なのに「他の会社に預けますよ」みたいなのがどこにも明記されてない
- IDとパスの通信が暗号化されてなくて、経路を傍受すればIDパス見放題
- OAuthを実装する労力を省いた結果がコレだよ!
- Uniqloみたいな大企業が、OAuthを実装するお金もないなんて・・・
改訂履歴
- 5/26 14:03 初版公開
- 5/26 16:09 不安を煽るような表現を削除。OAuthの例を追加。ユニクロのプレスリリースを追加。
- 5/26 18:12 「まとめ」の項目の、用心すべきサイトについての表現を変えた。
- 5/26 20:07 「どうしたらいいの?」に、パスを変えるべき理由を補足。
なまえ:
2010年5月26日 at 15:23
問題点として特定のテーマでの個人行動をまとめた情報が漏洩したということはいかがですか?
もちろん全ての twitter TL を収集しているばそういうことも可能ですが、現実的にそれが簡単に誰にでも手に入る状態になってしまったということがセキュリティの問題として興味深いと思います。
http://volatter.com/uniqlo.html
2010年5月26日 at 23:06
SSLじゃないからパスワード見放題というのは、ユニクロに限らずどこにでもあるような。
また、OAuthを採用しなかった理由は技術的や金銭的な理由より認証画面を出したくなかったという理由かも。
推奨されていないとはいえxAuthが提供されるくらいだし、認証画面を出したくないというのはわかる。
要は「漏洩騒ぎ」するほどのことではないと思うけど、Twitter、ユニクロという名前が事を大きくしてしまったのかな。
ただしデータファイルをWebに公開していたのはカッコ悪い。
あと不安を煽っておもしろがるのもカッコ悪い。