どうやってみつかったんだろうな

だれか、多分初心者が、Firebugで通信をつらつらとみてて、データファイルをみつけて、意味がわからなかった故に騒いだんじゃなかろうか。
または深読みして、初心者を怖がらせる為に「わかっていて」これを「個人情報！」などと騒いでデマの流布をしたのだろうか。

まあ誰が最初に発信したのかわからないから、わからんけど。
最初に誰が発信したのか、さっぱりわからないTwitterこわい。

なんで事件！っていわれたんだろう

漏洩だと張られたURLには、Flashで読み込むデータらしきものがあったが、Passwordらしき物は入っていなかった。
見た限り、サイト上のFlashで、人の行列を表示するのに必要な情報だった。つまり表示につかう公示されている情報、元々見せる為の情報だった模様だった*1。

これはパスワードを変えなきゃ！と騒ぐ必要はないし、掲載がいやなら、この行列から離れるだけでいい。
どこでも集められる情報だった。

ーーーまあ、1件2件だとゴミ情報でも、数万件集まれば価値がでる、という意味では楽にバルクに取得できるのは、価値があったのかもしれない。
ただ、それにしたってどうか…？気にするならこういうCGMなキャンペーンは参加できないし、Twitter系サービスサイトをクロールすれば、同意無しにクロールされたアカウント情報を常時大量に拾える。そもそもTwitterの検索機能だってある。
「TwitterやっててUniqloが好き！」って名簿が、Uniqlo以外にどんだけ価値があるのかもいまいちわからんね、金落としそうにないしな…ーーー

さておき、
これを漏洩っていわれると、ほとんどのCGMなキャンペーンサイトは死んじゃうんだよなー。
この仕組み*2まで問題視すると、Flashがアニメにしか使えないし、Ajaxだってダメだし…。

まー普通の人には、へんな文字列が並んでるだけに見えて、他人や自分のIDが乗っていて「こわい！」って不安になるのはわからないでもない。*3
（しっかし、自分のIDが乗っている！って発言した人は、自分のPWが無かったことにきづかなかったのだろうかね？）

ただ、これだけが問題でたたかれた訳ではないんだろうなー。
今回特に話題になってしまったのは、このデータの存在の前に、このサイトがTwitterのIDとPassをUniqloのサイト上で入力させる設計になっていたことで、疑心暗鬼になっていたユーザーが結構いた、ということなのだろう。
（さらにいえば、このドメインのサーバーではなく、別ドメインのサーバーにデータを送信している、という事も）

そもそもなんでUNIQLOのサイトってOAuthじゃないの？

なんでFlash上でID/PASSを入力させる設計だったのか、というのは想像しかできないけれど、
あのくそだっさいOAuth認証画面が我慢ならん！という風に息巻いている人を周囲に数人知っています。
（俺の所にくるデザインも、「OAuth？(なにそれ？｜使いたくない)」という物が多いし）

私はキャンペーン業界にもいるのだけど、登録数（利用者数）が目標にかかげてあるかぎり、
あのつかいづらく、わかりづらく、初心者がこわいと思うであろう、そんなOAuthの画面はできるだけ回避したいのは理解できる。

「そんな事とセキュリティを天秤にかけてるのかよ！効果測定厨乙！貴様外資か！」という意見もごもっとも。
ただ、これってセンスの問題だとおもうんですよね。いやこう断言すると叩かれそうですけど、世の中そういうもんじゃないですか。
簡単ログインのアレと一緒で、主観で許せる許せんなんだとおもいますよ。貴方がそうでなくても、そういう空気は見えます。*4
普段情報強者な方々も、おもしろさとクーポンにつられて入力を決めたわけじゃないですか…そんなもんですよ。

ーー今回みたいな騒ぎがしばしば起これば、まあ、しぶしぶ変わるんじゃないでしょうかねーー

ただ、SSL通信してないのはどうかなーってのは、ちょっとある。
でもまー、Twitter自体、SSL必須でうごいてるわけでもないしなー…。

あと、別ドメインに送信している事について文句を言っている人もいますが、全部ユニクロ自体がキャンペーンやってるわけないんだし、ドメインが同じだからってのは大差にならないですよ。別の業者がそのサーバーにコンテンツおいてる事も多いし。

私感まとめ

今回の一件は、騒がれるようなことではなかったと思います。
あのURLの内容を見て、ニヤニヤするのは楽しいですけど、アレの中に自分のIDを見つけて真っ青になったり、RTをしまくって皆に周知するようなものでもなかった。
サイト自体も、一部の隙もない設計でもないけど、キャンペーンサイトとしてはあんなもんじゃないですかね。

しかし、まあ、デマになっちゃいましたねー、さわぎになりましたねー。

まあ、ティザーサイトに掲載された、カウントダウンSWFをデコンパイルして結果を知り、内容を台無しにしたりする。
ああいうのと一緒の、制作会社の人間が理不尽に怒鳴られるような事件ですよ。

というかね、制作(会社)者の人をいじめないであげてください！ｗ
個人の場合だってあるし…ね？*5

余談）Twitterってやっぱデマを拡散しやすいなー

今回の最大の問題は、そういう勘違い（意図的な錯誤）をTwitterとかにデマとして流してしまった事ではなかろうか。
最初の段にもどるが、知識不足の人が流したのであれば、誰かさっさと突っ込んでやれよという感じもするが仕方ない。誰かが意図的に脅威をあおり、デマったのであれば、ちょっと悪質。

特に、最近やり玉にあがっている非公式RTによる連鎖RT

こういうやつ RT: @uzulla 非公式RT最高！ RT: @uzulla 無断非公式RT禁止！

連鎖するにつれ、情報欠損の可能性という指摘されているが、どんどん恐怖と不安を増幅しつつ、ソースが欠落していくRTを見ると、やっぱり怖いものだなーという感じ。

公式RTなら主ポスト消したら消えるのに、訂正が全く伝播しない（まあ訂正記事なんておもしろくないしね）からなあ。
別に非公式RTが悪いとまではいわないけど（ウザいと思う事はたまにあるけど）、よくわからんコメントを付けるくらいなら、素直に公式RTしときなさいよ！と思ったり。

後、思わせぶりに

これって… http://example.co.jp

みたいなカジュアルな*6ポストをしている人もいて、ここで始まっちゃうと、本当にデマの発信源になるよなー。

あー後もう一つ、ツイッターのポストで始まった、ソース不詳な情報をコピペして「まとめ」といって信用性があるように見せるサイトはなんなの？ニュースならまだしも、それ情報としてまとまってないから！