UNIQLOのプレスリリースでの公式発表について

UNIQLO LUCKEY LINE について 公式発表が一昨日の晩あったのですが、その後何も無かったのと、発表内容の問題点についてコメントしておきます。

確かに、Twitter パスワードを保存してないのかもしれないのだけど、その時のIDとパスワードの通信内容が暗号化されていないことについて、一言も言及が無いのは問題。

個人的には、s2factory のサーバーと Twitterのサーバー間の通信方法が全く分からない点が気になったり(常識的に考えると、PHP上で直接送信してるからLogを保存したりする場所が新たに発生することは無い気はするんですが、実装が容易なGET Methodで送ってる気もするし(^^;。ちなみに、s2factoryのサーバーは Apatch 2.2なので GETの内容はLOGに残りますが、UNIQLOのサイト上ではPOST METHOD なので内容はLOG取得方式を変更してないデフォルトの状態だと残りません)。

今時、大手のサイトで、IDとPasswordを平文で送ってるサイトは殆ど無いです。(例：WEBインベンダーのカート)
事情があって、SSLがつかえないサイトでさえ、JavaScriptで一旦送信内容にスクランブルをかけて送信していますが、今回はそれすらやってないのですから。

今回の発表は
・パスワードが載っているテキストファイルが公開されていると言うデマの否定
・UNIQLOがパスワードを自社で保存していないと言う主張。

この2点が載ってるだけです。

私は 素直に『あまり安全でない通信方式を使っていたのではないかと言う報告もあり、この件について調査中ですが念のためTwitterのPasswordの変更をお願いします。』と書くべきだったんじゃないかと思います。
個別メールには、平文通信の件は対応中ですと書いてるわけですし。危険をある程度認識しているか、判断できないなら、取り敢えず、お客様の安全を優先して対応してもらうのが売り手の配慮なんじゃないですかね。

後で、安全だったと言う調査結果が出れば、それで問題ないけれど、問題が判明してからじゃ、今更Password変えて下さいって言えないと思うんですが。

後、本来28日6時までの参加だったはずのUNIQLO LUCKEY LINEイベントですが、 10時現在キャッシュ等を経由すると、まだ参加できてしまい、クーポンをもらえた人がいたのってどうなんだろう。(10:06頃対応された模様対応できてません。サーバーが落ちてただけでした)

後、参考までに、S2 Factory様からのお知らせが出ています。

関連サイト：
「パスワード漏えいはない」　ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処 - ITmedia News
プレスリリース - UNIQLO ユニクロ
S2Factory, Inc.

関連記事：
危険！？UNIQLO のTwitter 連動イベント
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
【続報】メッセサンオー顧客情報流出のWEBインベンダーの対応について