パスワードを忘れた? アカウント作成
20998 story
インターネット

Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 76

ストーリー by nabeshin
複数のタレコミがあったが、詳しくまとめていた

Anonymous Coward曰く、

セキュリティホールメモの記事が関連リンクが充実しているのでソースとするが、Amazon.co.jpのウィッシュリストが「ほしい物リスト」に改められた際に、ユーザーのメールアドレスまたは登録した名前(デフォルトは本名、ニックネームに変える機能はあり)で検索すると(3/12 16:37現在、この機能は閉鎖されている)「メールアドレスと登録した名前のセット」と「ほしい物リスト」が表示されるという機能があったことが11日または12日早くから情報が出ていた。

この機能は設定で非公開にもできたが、デフォルトの設定が「公開」であったために無意識に公開されてしまっていたらしい。通販サイトということで登録名が本名である確率はかなり高いと思われるが、その結果、これまで中の人の正体がいろいろ噂されていた有名blogや大手サイトの管理者の本名と思われるリストがネット上で流れている。

(つづく)

セキュリティホールメモの記事によれば、amazon.comではデフォルトが非公開だったそうで、日本語化する際のデフォルトの設定ミスだったと思われる。ぼくはまちちゃん!の記事によれば、Amazonにログインした状態で踏むと「メールアドレスと登録した名前」をAmazon経由でメール送信するリンクを作成できるとのこと。これを防ぐにはサインインをクリックかcookieを削除してAmazon.co.jpからサインオフすることが必要だそうだ。

「ほしい物リスト」検索が閉鎖されたので対応中と思われるが、この判り難いUIも直してもらいたい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 2つの問題 (スコア:4, 興味深い)

    by YOUsuke (6796) on 2008年03月13日 12時21分 (#1312289) ホームページ 日記
    ・ウィッシュリストがデフォルトで公開であることをきちんと知らせない間抜けと調べない間抜けがいたこと
    ・CSRFによるトラップ作成が可能だった(過去形で良いんだっけ?)こと

    この二つの問題をごっちゃにしちゃいけない。
    あと前者が騒がれているが、Amazonに全面的なやばさがあるのは後者だし、後者の方が性質が悪い。

    前者は結構知られていて「何を今更」的な反応も多かったし、俺もそんな感じだった。
    公開される情報の仕様(本名、デフォルトの作成者としての本名)の変遷あたりが追えてない感じ。
    でも、どうでも良い話なので追う気もないが。
    「騙された!」的な発言を見ると「ウィッシュリストとかいうわけのわからない単語を見たらヘルプをよく読もうよ・・・」とかorzな印象を抱きました。
    有名blogとウィッシュリストを結びつけるのは面白かったかな。
    見られたくないウィッシュリストを公開のままにした上に、公開メールアドレスと紐付けしてるのには唖然としたかな。
    まあblogの中の人が有名、すなわち常に防衛しているというのがなりたたないのは経験的に明らかだったわけですが。

    情報が見つからない噂

    ・ワイルドカード検索が騒がれていた件
    ・購入履歴がわかるという件

    前者はワイルドカード検索が単に使えたのか、ヒットした文字列が見れてしまったのかがわからない。
    後者はウィッシュリストから「購入済み商品」を絞り込むことができる件だろうか。すなわち購入履歴とは言えないわけだが。

    #ウィッシュリスト絶賛公開中 [amazon.co.jp]。誰かなんか買っておくれよぅ。
    --
    妖精哲学の三信
    「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
    • Re:2つの問題 (スコア:3, 興味深い)

      by ich84 (33072) on 2008年03月13日 12時41分 (#1312306)

      ・ウィッシュリストがデフォルトで公開であることをきちんと知らせない間抜けと調べない間抜けがいたこと

      高木センセイの日記に詳しいですが [takagi-hiromitsu.jp]、少なくとも以前は「ウィッシュリストに追加」ボタンを押しただけで、公開状態になってしまったようなので、ユーザが悪いというのはどうかと思います。

      あのわかりづらい機能を使うと原則公開になるというわかりづらいUIはamazonに責任があるのではないかと。
      親コメント
    • Re:2つの問題 (スコア:2, 興味深い)

      by Anonymous Coward on 2008年03月13日 12時49分 (#1312314)
      ワイルドカードですが,いろんなものが引っかかってました.
      (一例)
      名前,アドレス欄
      *.go.jp
      *090*.ne.jp
      admin@*
      *株式会社*

      住所欄
      東京都*
      *1* ←都道府県名に番地まで入れてしまっている人が多数存在

      本名,有効なメールアドレス,所在地[,職業,趣味]をセットで簡単に(~数十万件くらい?)ゲットだぜ!
      親コメント
    • Re:2つの問題 (スコア:2, すばらしい洞察)

      by mtgood (31646) on 2008年03月13日 12時59分 (#1312319)
      ログアウトの解りにくさもどうかとおもいました。
      親コメント
    • by tks256 (30608) on 2008年03月13日 13時49分 (#1312353)
      もう二つあります。
      ・ニックネームに本名を書いていた間抜けと,ニックネーム登録欄に「氏名」と書いていた馬鹿がいたこと
      ・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと

      amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
      amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
      そこに本名を書いていた人が引っかかったわけです。
      実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。

      そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。
      その場合,都道府県検索から,綺麗に住所まで見えてしまったという。
      親コメント
      • Re:2つの問題 (スコア:3, 参考になる)

        by Anonymous Coward on 2008年03月13日 22時30分 (#1312745)
        君の言っていることは全部間違い。知らないくせになんでそんな偉そうなの?

        >・ニックネームに本名を書いていた間抜け

        アカウント登録名に本名を登録するのは当然だと思うが、
        「ウィッシュリストに追加」ボタンを押すと、自動的にウィッシュリストが作成されて、
        そのニックネームはアカウント登録名がコピーされて作られるようになっていた。
        そのため、ウィッシュリストのニックネームに本名が設定された人が続出した。

        >・ウィッシュリストの送信先に自宅の住所を書いていた間抜けがいたこと

        初期の頃に「ウィッシュリストに追加」ボタンを押した人は、
        自動的に登録住所がウィッシュリストの送付先に登録されるようになっていた。

        >amazonのアカウントの登録名と配送先の登録は全くの無関係ですが,
        >amazonのアカウント登録時に「氏名」と書かれている所に入力した内容が検索条件になっていたため,
        >そこに本名を書いていた人が引っかかったわけです。
        >実際は,この「氏名」欄には,偽名でもニックネームでも構わなかったわけで。

        「ウィッシュリストに追加」ボタンを押した人は、ウッィシュリストが作られたことさえ気づかないままな人が続出した。なぜなら、ボタンを押した後でリストは表示されないから。
        そのため、アカウント登録名の他にニックネームなんてものがあることさえ気づかない人が続出した。
        (気づいてニックネームを変更した人もいたけど、一部だった。)

        >そして,住所も「公開されます」と書かれているのに登録していた人がいたわけで。

        「ウィッシュリストに追加」ボタンを押してウッィシュリストが作られたことさえ気づかなかった人は、「公開されます」という文を一度も見ていない。
        親コメント
    • by Anonymous Coward
      >前者はワイルドカード検索が単に使えたのか、ヒットした文字列が見れてしまったのかがわからない。
      *gmail*とか*biglobe*を試してみたのですがばっちりアドレス見えてました
    • by Anonymous Coward
      >・ワイルドカード検索が騒がれていた件
      ほしい物リストのメールアドレス検索で*@gmail*というふうに検索できていた。
      また、メールアドレス「@」住所「*1*」で(ry

      トラップについても、comはウイッシュリストのidが必要なのでjpのような事はないらしい。

      ログオフの方法やほしい物リストデフォルト公開、しかも非公開設定はリストを作らないと
      できないなど、アマゾンの考え方はおかしいと思う。
  • by iCorbusier (27606) on 2008年03月13日 19時36分 (#1312623)
    あまり知られてないような気がしますが、Skypeは本名が検索できてしまいます。まぁ電話帳といっしょですが。
  • 実名制掲示板 (スコア:2, 参考になる)

    by Anonymous Coward on 2008年03月13日 13時13分 (#1312334)
    この機能を流用して、登録不要の実名制掲示板を作れないかな。

    アマゾンにサインインした状態であることが前提になるけど、
    サインアウトする方法なんて殆どのユーザーが知らないだろうし。

    #というか自分もずっとサインイン状態だったことにやっと気が付いたのでAC
    • Re:実名制掲示板 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2008年03月13日 13時35分 (#1312348)
      それをするのが OpenID なのでは?
      親コメント
    • by Sakura Avalon (12557) on 2008年03月13日 13時41分 (#1312350)
      >サインアウトする方法なんて殆どのユーザーが知らないだろうし。

      cookie削除とかしないとダメかなと思ってました。それほど困ってたわけじゃないのでそのままにしてましたけど。
      調べてみたら[ヘルプ]→[アカウントサービス]→[サインアウト [amazon.co.jp]]にやり方が書いてあったんですね。

      #素直にサインアウトボタン付ければ済むのに、誰が考えたんだこんなドルアーガの塔
      親コメント
      • by Anonymous Coward on 2008年03月13日 14時18分 (#1312369)
        サインアウトするためにはサインインをクリック。
        終了させるために「スタート」をクリックすることから始めるOSが支配的な現状では
        非常に馴染み深く分かり易いインターフェースだと思いませんか?

        #思いません
        親コメント
      • by user2ch (31474) on 2008年03月13日 15時19分 (#1312401)
        そりゃ、サインアウトさせたくない(いちいちサインインしなくてもふらっと買い物できる)
        のを望む買い手の個人情報なんて知ったことか、といった思考の悪徳業者が考えたんでしょう。
        親コメント
      • あまぞん、くるくる (スコア:2, おもしろおかしい)

        by TarZ (28055) on 2008年03月13日 13時56分 (#1312357) 日記

        #素直にサインアウトボタン付ければ済むのに、誰が考えたんだこんなドルアーガの塔
        1Pボタンを押すのはこちらですか。
        親コメント
    • by the.ACount (31144) on 2008年03月17日 17時09分 (#1314566)
      見に行ってみたら、サインアウト状態だった。
      でも、見に行ってサインイン状態だった記憶もあるので、いつ切り替わってたのか分からない。
      自分でサインアウトしてたり、してなかったり、だったのか?
      それとも、期限付きで自動サインアウトなんてこともあるんだろうか?
      ウイッシュリストは、存在は気付いてたけど、今回初めて見に行った。(使い道なし)
      --
      the.ACount
      親コメント
  • ウィッシュリストを、普通に「お気に入り」だと思ってたので、良く買う消耗品とかを登録してた。
    もちろん、何も設定変えてないので、本名を入れたまま公開してました。

    「本名とメールアドレス」がバレたかもしれないが、元々本名で使ってるメアドなので影響無し。
    本名も、とても良くある苗字と名前なので、公になってもまったく困らない。
    何かあっても、ああ、同姓同名の人だねぇで何とでも誤魔化せる。

    普通の名前ってのも、こういう時は役に立つんだなぁ。
    • by prankster (12979) on 2008年03月13日 14時03分 (#1312362)
      >公開してた
      おなじく。

      私の場合、足して1500円を超える(送料無料になる)までの一時的買い物リストとして使っていたので、最大でも3個くらい、それも本が主体だったので、人に見られても困らないですね。アドレスも本名と組で使っていたものなので問題なし。

      どちらかと言うと、検索の履歴が見られる方が嫌。なにせ定期的に「ケロロ軍曹」とか「まんがサイエンス」とかアレなキーワード検索をしていましたので。

      # うっかリリンクを踏んで「医学用おっぱいシミュレータ」を出しちゃったことがあったなぁ。
      # しばらく関連商品がお勧めになって往生しました。あの履歴が残ってたらはずい。
      親コメント
    • by aruefu (34582) on 2008年03月13日 15時44分 (#1312420) 日記
      >公開してた
      私もです。
      ただ、1件のみで「2006年10月」登録で「この商品はamazonでは取り扱わなくなりました」で
      商品の名称も詳細もすべて不明。

      ・・・いったいなにを登録していたんだろう・・・?
      親コメント
  • by yukichi (12361) on 2008年03月13日 14時46分 (#1312383) ホームページ
    単に機能を使ったら本名が出ました、という程度じゃないの?

    利用者の意図しない情報の出力は避けるべきだけど、「本名を知られたら危険」という社会構造もどうかと思うな...。
  • by nayuta1 (5887) on 2008年03月13日 16時49分 (#1312471)
    この機能を知らない人が居て、驚きです。

    ”ウィッシュリスト”と”持っている商品”がある限りアマゾンに忠誠を誓ってるぐらいです。
    500以上登録されてるけど。もし、漏れててプレゼントしてくれる人は、
    注文済みリスト以外からプレゼントしてくださいね。
  • by Tig3r (17335) on 2008年03月13日 16時55分 (#1312473) 日記
    もう、Amazon無しで生きていけない…

    買う、だけじゃないからなあ。
    --
    -- Tig3r on the hedge
  • 昔から使っているメアドはスパムだらけで、ある意味スパムホイホイになってますけど
    gmailは特に何もありません・・・

    とりあえず、自分の名前(結構特殊な名前)でgoogle検索したら自分のことはほとんどヒットせず、
    むしろ別人のことのほうが多くてビックリしました・・・
    Yahooで検索したら、もしかしたら・・・が出てくるし、gooでも似たような結果・・・
    意外といるんだなぁ、同じ名前の人って・・・
  • この商品を買った人はこんな商品も買っています、改め、
    この商品を買ったこの人はこんな商品も買っています。

  • by Anonymous Coward on 2008年03月12日 17時31分 (#1311823)
    Googleカレンダーのアドレスは http://srad.jp/security/article.pl?sid=06/10/04/015207 [srad.jp] こっちかな?

    しかし、有名サイトの中の人でも通販で使うアドレスと連絡用公開アドレス同じもの使うんだ。
    フリーアドレス使うとか、gmail複数使い分けるとかgmailのサブアドレス [fxtechnical.net]使うとかするもんだと思い込んでいたんだが。

    #通販で使うアドレスは通販会社にしか教えてないのでAC.
    ##そうするとspam全然来ないのよ、不思議なことに。ちなみにamazon/楽天など。
    • by Anonymous Coward on 2008年03月12日 19時16分 (#1311901)
      この件で本名バレしたのでblog閉鎖しますとかいうのも見かけますた。
      一部ユーザの趣味嗜好の暴露ってのは下世話な話題でしかありませんが、
      「メールアドレスをAmazonで検索すると本名バレ」の影響は
      日本におけるネットの匿名性の一部崩壊といっては言いすぎですか?

      別タレコミ [srad.jp]で「設定内容を変更する」のリンクが見つからないとありますが、そもそもウィッシュリスト/欲しい物リストに何も登録してないと、そのリンクが出現しない仕様になっているようです。
      #テケトーにリストに追加してみて出現するのを確認しますた。
      親コメント
      • by Anonymous Coward on 2008年03月13日 13時11分 (#1312330)
        ホントの有名人はとっくに本名バレしてるよ
        親コメント
      • by Anonymous Coward
        人気ブログの本名ばれたのはどうなるんでしょうね。
        セガの人がスマブラXとか都知事が仮面ライダーとかはネタって範囲ですが
        さすがに本名は実生活で影響のある人もいるでしょうし。

        知らないフリしてスルーってのが基本の用ですが。
        正にネットの祭りの対応をよくわかってるような。
    • >そうするとspam全然来ないのよ、不思議なことに。ちなみにamazon/楽天など。

      私のGmailアドレスは、amazonと楽天と他数箇所にしか教えてないけど、spam(Gmail的に)が来るんですよ。
      spamの内容が、「商品が発送されました」とか「注文を受け付けました」なので、困ってはいませんが。

      というか、Gmail、なんでもかんでもspamにするなよ…

      親コメント
    • by Anonymous Coward on 2008年03月13日 12時20分 (#1312288)
      > #通販で使うアドレスは通販会社にしか教えてないのでAC. > ##そうするとspam全然来ないのよ、不思議なことに。ちなみにamazon/楽天など。 今はどうだか知らんが、数年前は楽天用に作ったアドレスがspam漬けにされたよ。 だから、俺の中では楽天はヤヴァイ会社。(情報管理的な意味で) そーゆー経験からすると、「買い物用」ではなく、業者毎に専用アドレスが必要だし、 そのためには1人1ドメインは必須だよな、と思う。
      親コメント
      • by Anonymous Coward on 2008年03月13日 12時40分 (#1312304)
        高額商品を大量にリストに入れました!
        親コメント
        • 実際のとこ、この見栄っ張り冗談みたいなのはおいとくとしても
          元々ウィッシュリストって知り合いや家族に「これプレゼントして
          ほしーんだけどさぁ」とおねだりするものでしょ。すごく厚かましくて
          浅ましいよね。よく使う気になるよなぁ。

          自分で「こんなん買っちゃいましたHEHEHE」とか見せてて
          かみさんに張り倒されるみたいなのもアレですが。
          親コメント
          • by Anonymous Coward on 2008年03月13日 15時18分 (#1312399)
            > ごく厚かましくて浅ましいよね。よく使う気になるよなぁ。

            プレゼントのミスマッチを防ぐため、らしいですね。
            日本では最近はカタログギフトの形で受け取る側に選ばせて届けますが、
            米国では同額商品と交換したり、差額を現金でやり取りしたり、
            かなりドライな方向に発展していると聞きました。

            本当にツマラナイモノ送って嫌がられるよりマシじゃん、
            と言われたらその通りなんだけど、
            そうならない様に頭を使うのがいいのであって...。
            案外、互いを詳しく知らないような浅い友人関係でも、
            気軽にプレゼントをやりとりする習慣があるのかも知れません。

            感性が違う、としか言い様がないやね。
            そーゆー意味ではこのウィッシュリストの方が、
            (感覚的に理解出来なくも無いと言う意味で)マシかな。
            親コメント
          • 元々ウィッシュリストって知り合いや家族に「これプレゼントして
            ほしーんだけどさぁ」とおねだりするものでしょ。すごく厚かましくて
            浅ましいよね。よく使う気になるよなぁ。
            想像ですけど、おそらく元々は「あちらの発想」によるサービスなのでしょう。日本ではプレゼントを贈る風習があまりないのでピンときませんけど。
            向こうの感覚では、「アタシは今、モーレツにWii fitがほしいのよ!」「ボクはXBOX 360だ!」と主張することは、「厚かましい」とか「浅ましい」にはならないのでしょう。

            プレゼントに、欲しくもない銀のクリーム壺とか、扇子とかばかりもらってもしかたないですし、(あちらでの)需要はあるんじゃないでしょうか。
            どのくらい利用されているのかは知りませんが。

            # ローカライズせず、そのまま日本に持ち込んだところは確かにセンスがないと言えるかも。
            親コメント
      • 通販用は別にしておくと、メインのアドレスにspamが来ないという意味じゃないですかね?
        某N経の雑誌を定期購読したら、クレジットカードなどのダイレクトメールが山ほど届くようになったのを思い出した。
        親コメント
      • 同じ目に逢っている人がいるとは。
        楽天への登録アドレスがrakuten@mydomain なのですが、これに日本語spamがくるわくるわ。
        日に5-6通は楽天spamが届きます。

        まあ、店子に顧客のメールアドレスが通知される仕組みがそもそも間違っているような気がします。
        親コメント
      • かつてはメアドの運用も気にしてたけど、
        今は、NGリスト(From)とスパムフィルターで快適になった。
        ショップの宣伝メールなどはNGリストにかたっぱしから登録。
        漏れた分はスパムフィルターが除去。
        これでほとんどのスパムはやってこない。

        メアドを複数使う方が、私には面倒かな。
      • by Anonymous Coward
        gmailなら
        example@gmailだったら
        example+amazon@gmail
        example+rakuten@gmail
        で登録すればいいよ
        ex.am.ple@gmail
        でも、わかればいいけどね
  • by Anonymous Coward on 2008年03月13日 12時42分 (#1312310)
    機能の存在自体知らんかったので、何も登録してなかった。
    なんだかなあ…。
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...