セブン-イレブン・ジャパンは7月15日、「Twitterキャンペーンに関するお詫びとお知らせ」と題したリリースを公開。「セブン-イレブンの日」のキャンペーンに伴い、ツイッターアカウントと連携するユーザーに対し過剰な権限を求める設定となっていたことについて謝罪した。原因について同社は「ツイッターから外部アプリへ求める権限を誤って設定していたため」と説明したが、こんなあり得ない設定ミスがスルーされてしまう開発陣がいるなんて、「セブン-イレブン、大丈夫?」と言いたくなる事態だ。
別の意味でツイッターで話題となってしまったセブン-イレブン
(Image:Pravinrus / Shutterstock.com) 話題となった権限許可ではDMまで見られる可能性があった
同社によると「本来、ユーザーに求める権限は、一番権限の低い設定である『Read Only』で良かったところ、社内での確認が不十分であったため、意図せず一番権限の高い『Read, write and access Direct Messages』で設定をしてしまった」と経緯を話す。キャンペーンアプリの開発や設定は、同社のシステム開発部門が担当していたとのことだ。この設定が意図していたとしてもその理由の説明責任が発生するところだが、「意図せず設定をしてしまった」というのは、それはそれで「社内確認の質が低すぎやしないか」という問題にもなる気がしないでもない。
外部アプリをツイッターに連携させる際は、外部アプリに与える権限を3種類から選べる。「Read Only」はツイートやプロフィール情報の閲覧許可、「Read and write」は閲覧許可とツイートの投稿やプロフィール情報の更新許可、「Read, write and access Direct Messages」はそれらに加えてダイレクトメッセージの閲覧と送信も許可する。
つまりこの「Read, write and access Direct Messages」を許可してしまうと、セブン-イレブンが管理するサードパーティーアプリから、ツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまい、“乗っ取り”ともいえる事態も招きかねないのである。これは背筋が寒くなる話だ。