nabeshinによる
2008年03月13日 12時02分の掲載
複数のタレコミがあったが、詳しくまとめていた
Anonymous Coward曰く、
(つづく)セキュリティホールメモの記事が関連リンクが充実しているのでソースとするが、Amazon.co.jpのウィッシュリストが「ほしい物リスト」に改められた際に、ユーザーのメールアドレスまたは登録した名前(デフォルトは本名、ニックネームに変える機能はあり)で検索すると(3/12 16:37現在、この機能は閉鎖されている)「メールアドレスと登録した名前のセット」と「ほしい物リスト」が表示されるという機能があったことが11日または12日早くから情報が出ていた。
この機能は設定で非公開にもできたが、デフォルトの設定が「公開」であったために無意識に公開されてしまっていたらしい。通販サイトということで登録名が本名である確率はかなり高いと思われるが、その結果、これまで中の人の正体がいろいろ噂されていた有名blogや大手サイトの管理者の本名と思われるリストがネット上で流れている。
セキュリティホールメモの記事によれば、amazon.comではデフォルトが非公開だったそうで、日本語化する際のデフォルトの設定ミスだったと思われる。ぼくはまちちゃん!の記事によれば、Amazonにログインした状態で踏むと「メールアドレスと登録した名前」をAmazon経由でメール送信するリンクを作成できるとのこと。これを防ぐにはサインインをクリックかcookieを削除してAmazon.co.jpからサインオフすることが必要だそうだ。
「ほしい物リスト」検索が閉鎖されたので対応中と思われるが、この判り難いUIも直してもらいたい。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
2つの問題 (スコア:4, 興味深い)
・CSRFによるトラップ作成が可能だった(過去形で良いんだっけ?)こと
この二つの問題をごっちゃにしちゃいけない。
あと前者が騒がれているが、Amazonに全面的なやばさがあるのは後者だし、後者の方が性質が悪い。
前者は結構知られていて「何を今更」的な反応も多かったし、俺もそんな感じだった。
公開される情報の仕様(本名、デフォルトの作成者としての本名)の変遷あたりが追えてない感じ。
でも、どうでも良い話なので追う気もないが。
「騙された!」的な発言を見ると「ウィッシュリストとかいうわけのわからない単語を見たらヘルプをよく読もうよ・・・」とかorzな印象を抱きました。
有名blogとウィッシュリストを結びつけるのは面白かったかな。
見られたくないウィッシュリストを公開のままにした上に、公開メールアドレスと紐付けしてるのには唖然としたかな。
まあblogの中の人が有名、すなわち常に防衛しているというのがなりたたないのは経験的に明らかだったわけですが。
情報が見つからない噂
・ワイルドカード検索が騒がれていた件
・購入履歴がわかるという件
前者はワイルドカード検索が単に使えたのか、ヒットした文字列が見れてしまったのかがわからない。
後者はウィッシュリストから「購入済み商品」を絞り込むことができる件だろうか。すなわち購入履歴とは言えないわけだが。
#ウィッシュリスト絶賛公開中 [amazon.co.jp]。誰かなんか買っておくれよぅ。
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re:2つの問題 (スコア:3, 興味深い)
高木センセイの日記に詳しいですが [takagi-hiromitsu.jp]、少なくとも以前は「ウィッシュリストに追加」ボタンを押しただけで、公開状態になってしまったようなので、ユーザが悪いというのはどうかと思います。
あのわかりづらい機能を使うと原則公開になるというわかりづらいUIはamazonに責任があるのではないかと。
親コメント
Re:2つの問題 (スコア:2, 興味深い)
(一例)
名前,アドレス欄
*.go.jp
*090*.ne.jp
admin@*
*株式会社*
住所欄
東京都*
*1* ←都道府県名に番地まで入れてしまっている人が多数存在
本名,有効なメールアドレス,所在地[,職業,趣味]をセットで簡単に(~数十万件くらい?)ゲットだぜ!
親コメント
Re:2つの問題 (スコア:2, すばらしい洞察)
親コメント
Re:2つの問題 (スコア:2)
・ニックネームに本名を書いていた間抜けと,ニックネーム登録欄に「氏名」と書いていた馬鹿がいたこと
・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと
amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
そこに本名を書いていた人が引っかかったわけです。
実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。
そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。
その場合,都道府県検索から,綺麗に住所まで見えてしまったという。
親コメント
Re:2つの問題 (スコア:3, 参考になる)
>・ニックネームに本名を書いていた間抜け
アカウント登録名に本名を登録するのは当然だと思うが、
「ウィッシュリストに追加」ボタンを押すと、自動的にウィッシュリストが作成されて、
そのニックネームはアカウント登録名がコピーされて作られるようになっていた。
そのため、ウィッシュリストのニックネームに本名が設定された人が続出した。
>・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと
初期の頃に「ウィッシュリストに追加」ボタンを押した人は、
自動的に登録住所がウィッシュリストの送付先に登録されるようになっていた。
>amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
>amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
>そこに本名を書いていた人が引っかかったわけです。
>実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。
「ウィッシュリストに追加」ボタンを押した人は、ウッィシュリストが作られたことさえ気づかないままな人が続出した。なぜなら、ボタンを押した後でリストは表示されないから。
そのため、アカウント登録名の他にニックネームなんてものがあることさえ気づかない人が続出した。
(気づいてニックネームを変更した人もいたけど、一部だった。)
>そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。
「ウィッシュリストに追加」ボタンを押してウッィシュリストが作られたことさえ気づかなかった人は、「公開されます」という文を一度も見ていない。
親コメント
みなさんSkypeは大丈夫ですか? (スコア:3, 参考になる)
実名制掲示板 (スコア:2, 参考になる)
アマゾンにサインインした状態であることが前提になるけど、
サインアウトする方法なんて殆どのユーザーが知らないだろうし。
#というか自分もずっとサインイン状態だったことにやっと気が付いたのでAC
Re:実名制掲示板 (スコア:2, すばらしい洞察)
親コメント
サインアウトできたんだ… (スコア:2, 参考になる)
cookie削除とかしないとダメかなと思ってました。それほど困ってたわけじゃないのでそのままにしてましたけど。
調べてみたら[ヘルプ]→[アカウントサービス]→[サインアウト [amazon.co.jp]]にやり方が書いてあったんですね。
#素直にサインアウトボタン付ければ済むのに、誰が考えたんだこんなドルアーガの塔。
親コメント
Re:サインアウトできたんだ… (スコア:5, おもしろおかしい)
終了させるために「スタート」をクリックすることから始めるOSが支配的な現状では
非常に馴染み深く分かり易いインターフェースだと思いませんか?
#思いません
親コメント
Re:サインアウトできたんだ… (スコア:3, おもしろおかしい)
のを望む買い手の個人情報なんて知ったことか、といった思考の悪徳業者が考えたんでしょう。
親コメント
あまぞん、くるくる (スコア:2, おもしろおかしい)
親コメント
公開してた (スコア:1)
もちろん、何も設定変えてないので、本名を入れたまま公開してました。
「本名とメールアドレス」がバレたかもしれないが、元々本名で使ってるメアドなので影響無し。
本名も、とても良くある苗字と名前なので、公になってもまったく困らない。
何かあっても、ああ、同姓同名の人だねぇで何とでも誤魔化せる。
普通の名前ってのも、こういう時は役に立つんだなぁ。
Re:公開してた (スコア:2, 興味深い)
おなじく。
私の場合、足して1500円を超える(送料無料になる)までの一時的買い物リストとして使っていたので、最大でも3個くらい、それも本が主体だったので、人に見られても困らないですね。アドレスも本名と組で使っていたものなので問題なし。
どちらかと言うと、検索の履歴が見られる方が嫌。なにせ定期的に「ケロロ軍曹」とか「まんがサイエンス」とかアレなキーワード検索をしていましたので。
# うっかリリンクを踏んで「医学用おっぱいシミュレータ」を出しちゃったことがあったなぁ。
# しばらく関連商品がお勧めになって往生しました。あの履歴が残ってたらはずい。
親コメント
「危険性」なの? (スコア:1, 興味深い)
利用者の意図しない情報の出力は避けるべきだけど、「本名を知られたら危険」という社会構造もどうかと思うな...。
この機能を知らない (スコア:1)
”ウィッシュリスト”と”持っている商品”がある限りアマゾンに忠誠を誓ってるぐらいです。
500以上登録されてるけど。もし、漏れててプレゼントしてくれる人は、
注文済みリスト以外からプレゼントしてくださいね。
それでも (スコア:1)
買う、だけじゃないからなあ。
-- Tig3r on the hedge
10年くらい使ってるアカウント (スコア:1)
gmailは特に何もありません・・・
とりあえず、自分の名前(結構特殊な名前)でgoogle検索したら自分のことはほとんどヒットせず、
むしろ別人のことのほうが多くてビックリしました・・・
Yahooで検索したら、もしかしたら・・・が出てくるし、gooでも似たような結果・・・
意外といるんだなぁ、同じ名前の人って・・・
こんな新機能はいやだ (スコア:1)
この商品を買ったこの人はこんな商品も買っています。
真名は諱であるから晒すな、という東洋古の習慣が… (スコア:4, 参考になる)
一部ユーザの趣味嗜好の暴露ってのは下世話な話題でしかありませんが、
「メールアドレスをAmazonで検索すると本名バレ」の影響は
日本におけるネットの匿名性の一部崩壊といっては言いすぎですか?
別タレコミ [slashdot.jp]で「設定内容を変更する」のリンクが見つからないとありますが、そもそもウィッシュリスト/欲しい物リストに何も登録してないと、そのリンクが出現しない仕様になっているようです。
#テケトーにリストに追加してみて出現するのを確認しますた。
親コメント
Re:使い分けが面倒なのか? (スコア:1, 参考になる)
親コメント
この機能を知りませんでしたが、ニュースで知って急いで (スコア:3, おもしろおかしい)
親コメント
Re:この機能を知りませんでしたが、ニュースで知って急いで (スコア:2, おもしろおかしい)
元々ウィッシュリストって知り合いや家族に「これプレゼントして
ほしーんだけどさぁ」とおねだりするものでしょ。すごく厚かましくて
浅ましいよね。よく使う気になるよなぁ。
自分で「こんなん買っちゃいましたHEHEHE」とか見せてて
かみさんに張り倒されるみたいなのもアレですが。
親コメント
Re:この機能を知りませんでしたが、ニュースで知って急いで (スコア:3, 興味深い)
プレゼントのミスマッチを防ぐため、らしいですね。
日本では最近はカタログギフトの形で受け取る側に選ばせて届けますが、
米国では同額商品と交換したり、差額を現金でやり取りしたり、
かなりドライな方向に発展していると聞きました。
本当にツマラナイモノ送って嫌がられるよりマシじゃん、
と言われたらその通りなんだけど、
そうならない様に頭を使うのがいいのであって...。
案外、互いを詳しく知らないような浅い友人関係でも、
気軽にプレゼントをやりとりする習慣があるのかも知れません。
感性が違う、としか言い様がないやね。
そーゆー意味ではこのウィッシュリストの方が、
(感覚的に理解出来なくも無いと言う意味で)マシかな。
親コメント
Re:この機能を知りませんでしたが、ニュースで知って急いで (スコア:2, おもしろおかしい)
…ジサクジエンですた。(´;ω;`)
# いえ、もちろんどの国でも、デフォルトとしては情報非公開としておくほうがよいとは思います。
# Wish Listのサービスとしての発想のほうの話です。
親コメント
Re:使い分けが面倒なのか? (スコア:3, 興味深い)
私のGmailアドレスは、amazonと楽天と他数箇所にしか教えてないけど、spam(Gmail的に)が来るんですよ。
spamの内容が、「商品が発送されました」とか「注文を受け付けました」なので、困ってはいませんが。
というか、Gmail、なんでもかんでもspamにするなよ…
親コメント
Re:存在自体知らんかった (スコア:1, 興味深い)
買いたいもの、興味のあるものは
とりあえずカートへ→今は買わない
にしてたので。
お陰でカートに保存した商品数が90以上...
親コメント