UNIQLOのプレスリリースでの公式発表について
UNIQLO LUCKEY LINE について 公式発表が一昨日の晩あったのですが、その後何も無かったのと、発表内容の問題点についてコメントしておきます。
UNIQLO LUCKY LINEに関するお知らせ
平素はユニクロをご愛顧いただき誠にありがとうございます。 5月24日よりご提供させていただいているUNIQLO LUCKY LINEに関しまして、当コンテンツが皆さまのTwitterパスワードを保存している、また、そのパスワードが漏洩している、という情報がインターネッ ト上に流れておりますが、そのような事実はございません。 当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。 また、パスワードが載っているテキストファイルが公開されているとの情報がインターネット上に流れておりますが、UNIQLO LUCKY LINE上の行列を表示するための公開情報(コンテンツ上に表示されるTwitter ID・名前・アイコン画像パス・ツイート文言・アバターの服装データ・ツイート日時・行列参加日時・行列番号)以外公開されていません。 みなさまに安心してご利用いただくために、さらに徹底してコンテンツ運営してまいります。 |
確かに、Twitter パスワードを保存してないのかもしれないのだけど、その時のIDとパスワードの通信内容が暗号化されていないことについて、一言も言及が無いのは問題。
個人的には、s2factory のサーバーと Twitterのサーバー間の通信方法が全く分からない点が気になったり(常識的に考えると、PHP上で直接送信してるからLogを保存したりする場所が新たに発生することは無い気はするんですが、実装が容易なGET Methodで送ってる気もするし(^^;。ちなみに、s2factoryのサーバーは Apatch 2.2なので GETの内容はLOGに残りますが、UNIQLOのサイト上ではPOST METHOD なので内容はLOG取得方式を変更してないデフォルトの状態だと残りません)。
今時、大手のサイトで、IDとPasswordを平文で送ってるサイトは殆ど無いです。(例:WEBインベンダーのカート)
事情があって、SSLがつかえないサイトでさえ、JavaScriptで一旦送信内容にスクランブルをかけて送信していますが、今回はそれすらやってないのですから。
今回の発表は
・パスワードが載っているテキストファイルが公開されていると言うデマの否定
・UNIQLOがパスワードを自社で保存していないと言う主張。
この2点が載ってるだけです。
私は 素直に『あまり安全でない通信方式を使っていたのではないかと言う報告もあり、この件について調査中ですが念のためTwitterのPasswordの変更をお願いします。』と書くべきだったんじゃないかと思います。
個別メールには、平文通信の件は対応中ですと書いてるわけですし。危険をある程度認識しているか、判断できないなら、取り敢えず、お客様の安全を優先して対応してもらうのが売り手の配慮なんじゃないですかね。
後で、安全だったと言う調査結果が出れば、それで問題ないけれど、問題が判明してからじゃ、今更Password変えて下さいって言えないと思うんですが。
後、本来28日6時までの参加だったはずのUNIQLO LUCKEY LINEイベントですが、 10時現在キャッシュ等を経由すると、まだ参加できてしまい、クーポンをもらえた人がいたのってどうなんだろう。(10:06頃対応された模様対応できてません。サーバーが落ちてただけでした)
後、参考までに、S2 Factory様からのお知らせが出ています。
UNIQLO LUCKY LINE に関しまして、弊社はバックエンドサーバーのホスティング環境を提供してはおりますが、コンテンツの企画及びその実装はフロントエンド・バックエンドともに担当しておりません。
twitterパスワードが漏洩しているという情報も流れておりますが、そのような事実 は今のところございません。詳しくは株式会社ユニクロ様プレスリリースをご覽ください。 また、こちらのブログエントリも参照ください。 |
関連サイト:
「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処 - ITmedia News
プレスリリース - UNIQLO ユニクロ
S2Factory, Inc.
関連記事:
危険!?UNIQLO のTwitter 連動イベント
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
【続報】メッセサンオー顧客情報流出のWEBインベンダーの対応について
Comments