 いやはや、まいった。今日だけでフォロワーさんが110人以上も増えちゃいました。おいらがつぶやいた一言がリツイートされまくって、その過程で情報が改竄されデマとなり、当のユニクロまでコメントを出す始末。
何が問題なのかはまとめサイトで。
【漏洩なう】ユニクロ行列漏洩騒ぎのまとめ
|
ユニクロ行列に並んでしまった人はパスワードの変更だけは強くお勧めします!
さて、おいらがいちばん上の画像の件をついーとするに至った経緯
 5月24日
ユニクロのキャンペーンサイトに関する疑問がつぶやかれていて、自分で確認して確かにやばいわなぁ。と思ったものの、ツイートを非公開にしている人だけの問題のように見えたのであまり気にしていませんでした。
UTweet!
http://www.uniqlo.com/utweet/#/user/mimizun
参考までに、上記のURLの mimizun 部分を非公開ユーザのIDに変更すると読込5%時にIDとパスワードの入力を求められます。この時、間違った情報を与えるとエラーで停止。動作から明らかにTwitterのIDとパスワードを必要としていました。
|
 5月25日
ユニクロのキャンペーンでネット上に行列するという変な事が始まりましたが、前述のこともあって静観していました。ただでさえ並ぶのはおっくうなのに、ネットで並ぶとか、どんだけwww と、いう感じで。
そして、こんなツイートを見かけました。連日誰かが指摘しているのに、ユニクロ側の対策はなしかぁ。すっとぼけてるなぁというのがここまでの印象。
|
|
 5月26日
今日になってもその行列に参加したことを示す「行列なう」というツイートが目立つので、制作会社の管理と思われるサーバにパスワードを平文で送出している危険性をわかってもらおうかなとツイート。それなりにリツイートされたようで効果はあったようだ。
|
その後、IDやパスワードが送られるホスト名をググると行列に並んでいる人たちのリストが検索結果に表れたことから、検索結果に表れたURLを参照。個人情報やパスワードなど特に秘匿すべき情報は見当たらないことから、URLをツイートすると大騒動。そして、大量に拡散。この時の情報拡散は、大規模災害時に見られるデマそのものも多数あり残念でした。
|
そして、ユニクロがプレスリリースを出しましたが、パスワードは保存していませんという内容。とりあえず、パスワードが漏れているというデマを収束させるのが目的かと思われます。
参考:UNIQLO LUCKY LINEに関するお知らせ
本来の問題はプレスリリースの内容ではなくて、ユニクロとTwitter以外の第3者のサーバ(アプリ制作会社?)にIDやパスワードが平文で送出されているという事実。暗号化するべき情報をそのまま用いているのが問題なのだ。
さらに言えば、OAuthという認証を使えばその第3者のサーバにIDやパスワードそのものを送る必要がない。しかも、キャンペーンでは第3者のサーバについて告知されていない。
作り方によっては不要になる情報(ID・パスワード)をTwitter以外のサーバに送出させていることもあり、ユニクロのプレスリリースだけではID・パスワードを保存している疑いは晴れない。とはいえ、保存されていることを外部から証明することは不可能。あくまで疑いがあるというだけだ。
以上のこともあって、平文でパスワードを送出していることによる盗聴リスクと、ユニクロまたはアプリ制作会社いずれかのサーバにパスワードが保存されている可能性を考慮して、あらためて下記を強くお勧めします!
ユニクロ行列に並んでしまった人はパスワードの変更を強くお勧めします!
お前今日ホルホルしすぎてキモかったわ
大概にしとけよ