ユニクロ行列サイトのTwitterID&ツイートリスト漏れの件まとめ
この前褒めたユニクロの行列キャンペーンサイトですが、
裏でユーザーリストが流出してたようです。がーんがーんがーん。
これなのですが、IDとツイートのみの話だったら、
並んだ人の8割くらいはツイートしてると思われるし、
誰かがリスト作っていやがらせしてるだけでないの?
とか最初思ってしまったのだが、そんなことなかった!
問題に言及してるツイート。
【情弱緊急速報】ユニクロ行列、リスト大公開中だよー!
上で調べたとこによると、Flashの記述からID一覧のリストとツイート一覧のリストが
外部からも見えてたようですね。
ほれっ。業者のドメインと思われるところは伏せときました。
ちなみに今は見えなくなってます。
http://uniqlo-happy-line.xxxxxxxxx.co.jp/
http://uniqlo-happy-line.xxxxxxxxx.co.jp/system/data/all_line.txt
http://uniqlo-happy-line.xxxxxxxxx.co.jp/system/data/all_line_tweets.txt
プレスリリースによると
UNIQLO LUCKY LINE上の行列を表示するための公開情報(コンテンツ上に表示されるTwitter ID・名前・アイコン画像パス・ツイート文言・アバターの服装データ・ツイート日時・行列参加日時・行列番号)は流れたみたいですね。
togetterのスレで問題点が色々言及されてるので抜き出してみました。
★UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について
OAuthを使わなかった理由は十分に分かる。急にtwitterの変なページが表示させられるだけで敷居は少し高くなりリーチが減るのは目に見えてる。普通のユーザのリテラシー的になんだこれってなるでしょ。あのページはどうにかした方が良いね。広義の意味での”デザイン”がされてない。
今のところやるとしたら、OAuthに飛ばす前に、利用者側で、十分な説明をした上で承認画面に飛ばすしか無いね。
OAuthが嫌な理由のもう一つは、キャンペーンサイトは”手軽さ”ってのが重要だと思ってる。説明無しで、サクッと見れて、パッと体験できる、というような。ユーザが閲覧してる最中にちょっとでも他の事を考えさせては駄目なんじゃ無かろうか。間に訳の分からんページが入ってるだけで残念。
そう当選通知かな、とも思ったんだけどパスワード取らなくても十分他の手段があるよね。もし本人確認したいなら、その時に初めてOAuthを使ってログインを求めたら良いんじゃないかって思った RT @KojiroFutamura: @keita プレゼント当選通知にDM使いたかったとか。
「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
@fshin2000 このサーバがユニクロと全然関係ないドメインだったりするのも突っ込みポイントのようです。断りなく個人情報を第三者に提供している、という主張がありえると思いますので。
@fshin2000 そうですね。ただ、サーバは外部であっても、ドメインは運営者のサブドメインになるようにがんばって調整することが多いようにも思います。今回はドメインが表に出てこないから気にしなかったのかもしれませんが。
確かにFlash上でIDとつぶやきが出てたりしたから、
見えている情報っていうのは確かなんだよね。
でも外部業者のドメインが出てるのはイタイですね。
表側はすごいなぁと思ったのになぁ。
裏もちゃんとツッコミどころがないように作らないといけませんね。
操作感があまりにもスムーズだったので、
パスワード入力するのが、全然気にならなかったのだが、これから気を付けよ。
自分もセキュリティ感度を高めないといかんですね。
もちろんパスワードは即変えました。
<追記>
コーポレートドメインの出ている会社は、
サーバ提供・管理のみで制作には関わってないとのことです。
★UNIQLO LUCKY LINE に関して