セブン-イレブン・ジャパンは7月15日、「Twitterキャンペーンに関するお詫びとお知らせ」と題したリリースを公開。「セブン-イレブンの日」のキャンペーンに伴い、ツイッターアカウントと連携するユーザーに対し過剰な権限を求める設定となっていたことについて謝罪した。原因について同社は「ツイッターから外部アプリへ求める権限を誤って設定していたため」と説明したが、こんなあり得ない設定ミスがスルーされてしまう開発陣がいるなんて、「セブン-イレブン、大丈夫?」と言いたくなる事態だ。
別の意味でツイッターで話題となってしまったセブン-イレブン
同社によると「本来、ユーザーに求める権限は、一番権限の低い設定である『Read Only』で良かったところ、社内での確認が不十分であったため、意図せず一番権限の高い『Read, write and access Direct Messages』で設定をしてしまった」と経緯を話す。キャンペーンアプリの開発や設定は、同社のシステム開発部門が担当していたとのことだ。この設定が意図していたとしてもその理由の説明責任が発生するところだが、「意図せず設定をしてしまった」というのは、それはそれで「社内確認の質が低すぎやしないか」という問題にもなる気がしないでもない。
外部アプリをツイッターに連携させる際は、外部アプリに与える権限を3種類から選べる。「Read Only」はツイートやプロフィール情報の閲覧許可、「Read and write」は閲覧許可とツイートの投稿やプロフィール情報の更新許可、「Read, write and access Direct Messages」はそれらに加えてダイレクトメッセージの閲覧と送信も許可する。
つまりこの「Read, write and access Direct Messages」を許可してしまうと、セブン-イレブンが管理するサードパーティーアプリから、ツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまい、“乗っ取り”ともいえる事態も招きかねないのである。これは背筋が寒くなる話だ。
ツイッターユーザーから権限要求について指摘があってすぐ、同社は12日にキャンペーンを中止。過剰に要求していた権限も14日に削除したとしているまた、すでに商品が当選したユーザーについては、25日までセブン-イレブン店舗で商品の交換が可能ということだが、その際に求める権限は一番最小の「Read Only」だという。また、取得したデータもユーザーがクーポンを利用した日、または商品の引換期間終了後、速やかに削除するとしている。…が、こんな重要な設定ミスをする開発陣なので、そのあたり、「本当に削除した?」と不信感を抱くユーザーもいそうだ。
セブン-イレブンといえばまだ記憶に新しいのが、独自の決済機能「セブンペイ」の大失態である。2019年7月に導入したものの、不正利用が相次ぎ、スタートからわずか数日で新規会員登録を停止。2カ月で終了した経緯がある。同社はその後「セキュリティについては襟を正して取り組んでいきたい」とコメントしていたが…?
襟を正した結果のひとつがコレだったのなら、もうセブン-イレブンはしばらくSNSデトックスした方がいいかも?
参照元:セブン-イレブンがTwitterキャンペーン取り下げで謝罪 過大な権限要求は「設定ミスだった」【ITmedia NEWS】
※サムネイル画像(Image:Ned Snowman / Shutterstock.com)