UNIQLO HAPPY LINEでtwitterのID流出騒動のまとめ

結論から言うとパスワードは漏れてないけれどUNIQLO HAPPY LINEがユーザビリティを優先してセキュリティ軽視しすぎだった。10万近く集めてtwitterのトレンドに載るなどキャンペーンとしては成功だがセキュリティ上大きな問題があり早期改修orプレスリリースで謝罪などに至ると予想。とりあえず現状即被害があるものではないが念のためtwitterのパスワードを変えておくと安心でしょう。

今回のキャンペーンの問題をまとめると以下の通り。

2010.05.27 10:100S2ファクトリーから、ホスティングしているだけで制作会社は別である旨アナウンスがありました。

http://blog.s2factory.co.jp/kuriyama/2010/05/uniqlo-lucky-line.html

UNIQLO LUCKY LINE に関して

今回の UNIQLO さんの LUCKY LINE サイトについて、弊社として言えるのは
1. 制作物には一切関わっていない
2. サーバ自体の管理は弊社が行っている
という点です。コンテンツの中身に関してはこちらも推測しかできない部分が多いのでなんとも言えませんが、結果として弊社コーポレートドメインでの運用となってしまったために、多くの方にご心配をかけたことは大変申し訳なく思っています。
Twitterでの初期のtweetには事実しか語っていないものも多かったのですが、時間が経過するにつれ推測されたものが投稿され、またその推測が事実と取られかねない表現で RT されていき、それがものすごい勢いで伝播していきました。このようなことを身近なこととして目の当たりにし、すごく恐ろしく、悲しい思いをしました。
(以下略)

UNIQLO HAPPY LINE
▲5.26 19:00現在、参加フォームの下部に「TwitterのパスワードはTwitterとの通信のためだけに利用しており、当コンテンツでの保持や目的外使用等は一切行っておりません」の文言が追加された。(この文言は元々「免責事項」をクリックしないと表示されなかった

1.UNIQLO HAPPY LINEでtwitterのパスワードを入力させる問題

twitterのID、パスワードを入力させるが、そのアカウントの取り扱いについてどこにも説明がない。→説明がないということはユニクロがアカウントを保存していたり、ある日突然ユニクロにアカウントを乗っ取られる可能性がある。もちろん意図的にそういうことはしないだろうが大企業なら「パスワードは保存しません」「HappyLineキャンペーン以外には利用しません」の断り書きが会ってしかるべき。そもそもOAuth使おうよ、という話。

追記:エントリー画面右下の「免責事項」に目的外利用しないこととパスワード保存していない旨記述あるとの情報いただきました。Thanks!!

でも他社パスワード入力みたいな重大な処理の場合は表に書くべきじゃないかと個人的には思う。後で「書いてある」で済ませていい話ではなくて賃貸とかでも重要事項は説明しなきゃいけないことになってるように。

2.UNIQLO HAPPY LINEがtwitterのパスワードを暗号化せず、しかも外部のサーバに送っている問題

制作会社と思われるhttp://uniqlo-happy-line.s2factory.co.jp/へデータを送っているがユーザはユニクロだから信用してパスワードを入力しているわけで、データ管理上の問題がある。しかも通信がSSL化されていないので通信経路で漏れたり、偽のサーバに送られてもユーザにはわからない。他のサイトでもパスワード入れる画面を暗号化するのは常識ですよね?

ユニクロの例の Twitter アカウントの件をスネークしてみたら http://uniqlo-happy-line.s2factory.co.jp/ っていうサーバに対して、 POST してるみたい。 httpsでも無いし、Twitterのアカウントが第三者に送られてるよ?

3.UNIQLO HAPPY LINEに参加したtwitterのIDが流出している問題

上記のhttp://uniqlo-happy-line.s2factory.co.jp/でtwitterのID一覧がアクセス制限されておらず閲覧できる。パスワードは含まれていないので安心だが、今後スパムマーケティングに悪用される可能性がある。1番2番と合わせパスワード管理がどうなっているか不安視されても仕方ないだろう。

/

16:35追記。セキュリティ専門家の高木浩光さん参戦。結局そういうこと。ユニクロさんは自分のサイトではSSLで暗号化してるのに他社のアカウントを入力させるときはSSL掛けないでいいとはどういう判断なの?という。


追記終わり。

ecto3のバージョンアップが出ていた

Macのブログの更新ソフトとしてメジャーなectoのバージョンアップが出ていた。変更内容は以下の通り。前バージョンのAmazonやFlickrプラグインにはデフォルト添付なのにバグがあってパッチを当てなければいけないという敷居が高いものになっていたので良かったと言えるだろう。
✓ updated Amazon plugin
✓ updated Flickr plugin
✓ include Atom03 plugin by default (mostly for older Japanese blog systems)
✓ fixed a URL redirect handling bug
✓ minor documentation updates (link to correct location for support forum, etc.)
✓ the ecto updater now uses a different XML feed to update the software based on the operating system version, separating Mac OS X 10.4 (Tiger) from later versions, (Leopard and higher)

RSpec本が永遠のβ化している件について

Railsでテストに使われるRSpec、結構普及していると思うんですけど確か日本語書籍が出ていないのですよね。高橋さんの達人出版会でRSpecもテーマに上げられてます。↓「RSpec-Book」が日本語化されたら買いたいと思っているのですが全然出る気配がないんです。むしろ順調に遅れている。勝手訳しちゃおうかなー。

http://www.pragprog.com/titles/achbd/the-rspec-book