【炎上】セブンイレブンのキャンペーンのツイッター連携の権限が過大すぎる「公式が勝手にツイートもDMも可能に」「ほぼ乗っ取り状態にされる」「7payの時と同じでセキュリティ知識がゼロ」
セブンイレブンのキャンペーンのツイッター認証の権限が過大すぎる「連携したらセブンにツイートもDMも可能になる権限渡すことに」
更新日:
ringoさん
VIEW
【注意】セブンイレブンのキャンペーンのツイッター認証の権限が過大すぎる「連携したらセブンにツイートもDMも可能になる権限渡すことに」
/
本日7月11日は #セブンイレブンの日📯
お客様へ日頃の感謝を込めて💓
Twitterキャンペーン第2弾
\
抽選で40万名様にアサヒ ザ・リッチをプレゼント🍺
応募方法
①@711SEJをフォロー
②この投稿をRT
③↓の画像をタップし応募サイトから抽選に進んでください
#セブンイレブンからありがとう
全権限をセブンにわたすことになる
噂になってるので見に行ってみましたが、なんじゃこりゃー!キャンペーン応募しようとすると、OAUTH認証連携要求されて、ムチャ過大な権限要求されるんですが。これOKすると7-11はあなたの代わりにツイートもDMもプロフ変更もできる。改修されるまで応募したらダメ。@711SEJさんもまず止めて。 t.co/7gEKD9tKrq
そもそもなんでTwitterの権限求めるような仕組みにしちゃうんですかね。フォロー&RTされたアカウントを応募のために記録するんじゃダメなんでしょうか。こんなキャンペーン応募で、OAuth連携まで求めないと出来ないことってなんでしょう??
セブンイレブンのキャンペーンの件、フィッシングかと思ったら公式がpinしていて目を疑った…
ほぼアカウント乗っ取りに等しい権限をすべて渡すことを意味している。OAuthのスコープについて理解した開発者が作ったとは考えにくい。緊急メンテすべき
t.co/LkD3eicATK
t.co/YbkNbgDZyK
OAuthのスコープについて一般ユーザが理解するのは不可能であることは残念ながら歴史が証明した。ユーザは何も見ずに認可してしまう。だからこそ、開発者がリテラシと倫理観を持ってユーザに届ける必要がある。これは某木某光先生に怒られないといけない案件だと思う。
セブンイレブンのキャンペーンが要求するスコープが広すぎる話、来年以降も同名のキャンペーンやるときにどんな企画になってもそのままいけるように要求できる権限は全部要求しとけみたいな謎結論になりベンダ側がしゃーないからそのまま実装したとかそんなのかしらなどと邪推している
こういう会社なんで
セブンアイホールディングスのネットシステムはいつも問題起こしてるけど、本当にシステム屋の頭が悪いんだなぁと実感。7pay、脆弱性など。
株式会社セブン&アイ・ホールディングスと株式会社セブン‐イレブン・ジャパン、株式会社セブン・ペイは7月4日、バーコード決済サービス「7pay」の一部アカウントへの第三者による不正アクセスの被害が判明したと発表した。
セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。
