Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 32
ストーリー by hylom
仕様の穴 部門より
仕様の穴 部門より
あるAnonymous Coward 曰く、
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。
必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。
これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい物リストに入っていない商品を勝手に送りつけることができる。このとき、自分が商品の出品者となっている商品を利用することで、実際に商品を購入することなしに、「発送先情報」という形で相手の個人情報を取得できてしまうという仕組みだ。
ちなみに先日Amazon ウィッシュリスト経由で砂 1 トンを送る方法というネタも一部で話題になっていた。「ほしい物リスト」に入っていない商品も送付できるという点が根本的な問題であるので、迅速な修正を期待したい。
対処方法としては、「ほしい物リスト」の設定で「お届け先住所」を設定しないようにするのが良さそうだ。
これ大丈夫か? (スコア:3, すばらしい洞察)
いきなりTwitterで方法を公開するとか、それをまとめたサイトへのリンクがついてる記事とか、なんかおかしいと思うのは俺だけですかね。よくわからなくなってきた。
Re:これ大丈夫か? (スコア:2)
危険を知らせる自体は悪いことじゃないし、Amazonが対処すべき問題ではあるんだけど、
このケースの場合、出だしの部分
>マーケットプレイスの出品者アカウントを作る(所要時間約10分)。必要なものはクレカと電話番号のみ。個人情報は当然デタラメ。
からマーケットプレースの参加規約に違反してるのが気になるところですかね。
法律の専門家じゃないからわからないけど、この人が公開している通りのことを実践した
のであれば、Amazonは法的アクションを取れるかもしれないし。
でたらめなアカウントを登録するのは相手に自分の情報を抜かれないようにするためで必須条件じゃ
ないのかもしれないけど、そうしない限り相手だけの情報を抜くことができないのであれば
制度的な壁は作られているという事にもなる。システムにはアナがあるが制度の方で抑え
はあると。
いずれにしても、告発者は自分の実を守るためにも、他のコメントもあるように公的機関を通じて
Amazonに知らせるべき事例じゃないかと思いますね。鬼の首を取って嬉しかったのかもしれないけど
ちょっと脇が甘いかも。
Re:これ大丈夫か? (スコア:2)
告発者にしてもそうですけど、今我々が見ているこのサイトも以前はもう少し情報の取り扱い方を心得ていたような気がします。妄想かも知れませんけど。
欠陥があることを知らしめることは大事だと思いますけど、その利用方法まで一緒に知らしめるのはどうかと思うます。それが例え検索してすぐに得られる程度の内容であっても。ではないですかね。
情報のあり方ってやつが変わってきたのかなー。
Re: (スコア:0)
発見者はIPA辺りに通報するのが一番良いでしょうね。
Re: (スコア:0)
間違えた。
JPCERT [jpcert.or.jp]だった。
Re: (スコア:0)
日本ではいらない機能 (スコア:2)
プレゼントするやつとかいんのか?
外人か!(タカトシのどっちか)
Re:日本ではいらない機能 (スコア:1)
そこは、「欧米か!」でしょう。
関連ストーリー (スコア:1)
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 [srad.jp]
昨年末に「ほしい物リストを公開すればクリスマスプレゼントが当たる」という企画があったのだが、 (スコア:1)
出品者はでたらめな個人情報を登録 (スコア:0)
商品送付の際に、住所など出品者の個人情報が相手に伝わるから、自分の個人情報を相手に晒してまでやる奴はいないだろうと思ったら、
とのこと。
Amazonでは出品者のクレジットカードの個人情報と、アカウントに登録した個人情報の照合をやっていないらしい。せめて氏名ぐらいは確認しろよ。
Re: (スコア:0)
Amazonでは出品者のクレジットカードの個人情報と、アカウントに登録した個人情報の照合をやっていないらしい。せめて氏名ぐらいは確認しろよ。
アカウントと同名義のカードしか使えないってことになるので、無理じゃね?
それよりカード番号と有効期限しか使われない認証システムの方をなんとかするべきだろう。
Re: (スコア:0)
クレカってのは個人情報じゃないのだろうか?
それともクレカもでたらめなのか?
他人のクレカを登録するってのは既に犯罪じゃなかろうか?
要するにこのまとめは犯罪を告白してるって事か?
Re:出品者はでたらめな個人情報を登録 (スコア:1)
流石に登録時にオーソリは通すんじゃない?
あと、VプリカっていうVISAデビットがあるのですが、自由な名義でカード番号を発行できます。
http://vpc.lifecard.co.jp/ [lifecard.co.jp]
アマゾンギフト券を贈るようにすればいい (スコア:0)
アレならメルアドだけでやり取りが完結しますからね。
ブロガーが物乞いとかする場合はこっちのが無難でしょう。
欲しいものリストはリアル友人とか家族間でのプレゼント用のみに使うってことで。
Re: (スコア:0)
送る方じゃなく、送られる側の住所が赤の他人に知られてしまう、って話だよ。
砂欲しい (スコア:0)
マジレスすると砂欲しいです。
1㌧なんてたいした量じゃないので2.5㌧程お願いします。
Re: (スコア:0)
マンションな俺はゴミにしかならない・・・
粗大ごみで持ち込むと10kg200円の料金がかかるので、2万するorz
Re: (スコア:0)
袋入りらしいので未開封のまま近所の学校とかに寄付すれば喜ばれると思いますよ。
建設屋などに交渉すれば売れるかも知れない。
Re: (スコア:0)
紐付きの袋に入れて、ズボンの中に吊るす→紐を引けば袋の中の砂がズボンの下から出てくる→外での作業時にそれを実行する(畑仕事が理想的!)→それを毎日繰り返す
Re: (スコア:0)
自分の畑持っていたら普通にそこに持ってけばいいでしょ
Re: (スコア:0)
つまらない日常からも『大脱走』できますかね?
やばいでしょ (スコア:0)
そんな薄っぺらい対処法じゃなく、根本的にamazonに改善してもらわないと、
住所知っている知人に恨み買われてたりしたら、変な物大量に欲しい物リストに入れられて、どんどん広められたりして。
成り済ます必要すらないし。
Re: (スコア:0)
何を動転しているのか知りませんが、これは勝手に荷物を送りつけることにより送付先住所を手に入れられてしまうという問題であり、あなたが危惧しているような問題ではありません。
そもそも住所を知ってる知人ならそんな手の込んだことをせずとも特上寿司なり宅配ピザなり送り付け放題でしょう。
Re:やばいでしょ (スコア:1)
貴方は、以下のどちらが簡単かつローリスクで、どちらがより効果があると思いますか?
・第3者が欲しい物リストを勝手に作り、特定住所を登録して世界に公開する。
・第3者が電話やwebで特定住所に特上寿司や宅配ピザを送り付ける。
Re: (スコア:0)
・第3者が電話やwebで特定住所に特上寿司や宅配ピザを送り付ける。
今回の場合、届くものは代金支払い済みなわけだけれど。
Re: (スコア:0)
他人の住所氏名でアマゾンのアカウントとるのは成りすましじゃないんですか?
それとも住所は知人のだけど、名前は自分の名前なんですかね?
ばればれじゃないですかww
Re: (スコア:0)
全く違う話してて不覚にもワロタw
Re:もう (スコア:2)
よーしパパ、dodongaをいっぱい送りつけちゃうぞ!
Re: (スコア:0)
kg単価でお幾ら?
纏め買いの割引とかある?