ユニクロ行列騒動・パスワード変更の勧め

| コメント(1)

【情弱緊急速報】ユニクロ行列、リスト大公開中だよー! いやはや、まいった。今日だけでフォロワーさんが110人以上も増えちゃいました。おいらがつぶやいた一言がリツイートされまくって、その過程で情報が改竄されデマとなり、当のユニクロまでコメントを出す始末。

 何が問題なのかはまとめサイトで。
 【漏洩なう】ユニクロ行列漏洩騒ぎのまとめ

 ユニクロ行列に並んでしまった人はパスワードの変更だけは強くお勧めします!

さて、おいらがいちばん上の画像の件をついーとするに至った経緯

ちょ、、UNIQLOのサイトでユーザー名とパスワード入力してTwitterで呟くってありえなくない??なんで誰も触れてないんだ??!!5月24日
 ユニクロのキャンペーンサイトに関する疑問がつぶやかれていて、自分で確認して確かにやばいわなぁ。と思ったものの、ツイートを非公開にしている人だけの問題のように見えたのであまり気にしていませんでした。
 UTweet!  http://www.uniqlo.com/utweet/#/user/mimizun
 参考までに、上記のURLの mimizun 部分を非公開ユーザのIDに変更すると読込5%時にIDとパスワードの入力を求められます。この時、間違った情報を与えるとエラーで停止。動作から明らかにTwitterのIDとパスワードを必要としていました。

ユニクロの例の Twitter アカウントの件をスネークしてみたら http://uniqlo-happy-line.s2factory.co.jp/ っていうサーバに対して、 POST してるみたい。 httpsでも無いし、Twitterのアカウントが第三者に送られてるよ?5月25日
 ユニクロのキャンペーンでネット上に行列するという変な事が始まりましたが、前述のこともあって静観していました。ただでさえ並ぶのはおっくうなのに、ネットで並ぶとか、どんだけwww と、いう感じで。

 そして、こんなツイートを見かけました。連日誰かが指摘しているのに、ユニクロ側の対策はなしかぁ。すっとぼけてるなぁというのがここまでの印象。

【情弱速報】ユニクロ行列危険のお知らせ http://twitter.com/sugamasao/status/14681655236 http://uniqlo-happy-line.s2factory.co.jp/ に対して、 Twitterのアカウントが第三者に送られてる5月26日
 今日になってもその行列に参加したことを示す「行列なう」というツイートが目立つので、制作会社の管理と思われるサーバにパスワードを平文で送出している危険性をわかってもらおうかなとツイート。それなりにリツイートされたようで効果はあったようだ。

【情弱緊急速報】ユニクロ行列、リスト大公開中だよー! その後、IDやパスワードが送られるホスト名をググると行列に並んでいる人たちのリストが検索結果に表れたことから、検索結果に表れたURLを参照。個人情報やパスワードなど特に秘匿すべき情報は見当たらないことから、URLをツイートすると大騒動。そして、大量に拡散。この時の情報拡散は、大規模災害時に見られるデマそのものも多数あり残念でした。

 そして、ユニクロがプレスリリースを出しましたが、パスワードは保存していませんという内容。とりあえず、パスワードが漏れているというデマを収束させるのが目的かと思われます。
 参考:UNIQLO LUCKY LINEに関するお知らせ

 本来の問題はプレスリリースの内容ではなくて、ユニクロとTwitter以外の第3者のサーバ(アプリ制作会社?)にIDやパスワードが平文で送出されているという事実。暗号化するべき情報をそのまま用いているのが問題なのだ。

 さらに言えば、OAuthという認証を使えばその第3者のサーバにIDやパスワードそのものを送る必要がない。しかも、キャンペーンでは第3者のサーバについて告知されていない。

 作り方によっては不要になる情報(ID・パスワード)をTwitter以外のサーバに送出させていることもあり、ユニクロのプレスリリースだけではID・パスワードを保存している疑いは晴れない。とはいえ、保存されていることを外部から証明することは不可能。あくまで疑いがあるというだけだ。

 以上のこともあって、平文でパスワードを送出していることによる盗聴リスクと、ユニクロまたはアプリ制作会社いずれかのサーバにパスワードが保存されている可能性を考慮して、あらためて下記を強くお勧めします!

 ユニクロ行列に並んでしまった人はパスワードの変更を強くお勧めします!

コメント(1)

お前今日ホルホルしすぎてキモかったわ
大概にしとけよ

2015年1月

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

アーカイブ

このブログ記事について

このページは、mimizunが2010年5月26日 19:42に書いたブログ記事です。

ひとつ前のブログ記事は「個人情報漏えい事件を起こし「不正アクセス」と嘘を言う」です。

次のブログ記事は「2TBのHDDが9999円」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Powered by Movable Type 5.2.7

アイテム

  • スカイタイム
  • Ingress 国際通り
  • 確認くん
  • iPhone 設定画面
  • JAL SKY Wi-Fi 接続が完了しました。
  • JAL SKY Wi-Fi パス選択画面
  • JAL SKY Wi-Fi ご利用ガイド
  • JAL SKY Wi-Fi
  • 那覇空港22番ゲート
  • A&W ルートビア