サイトアイコン IT NEWS

セブン‐イレブン、Twitterキャンペーンで「乗っ取り」レベルの権限を要求

セブンイレブン
 
大手コンビニエンスストアのセブン‐イレブン・ジャパンは7月15日、Twitterキャンペーンにおいて、ユーザーに対して誤って過剰な権限の要求を行っていたと発表しました。

Twitterキャンペーン

セブン‐イレブンは、7月11日を「セブンイレブンの日」とし、公式Twitterアカウントにおいて、10万名にアサヒ十六茶が、50万名にお酒のアサヒ ザ・リッチが当たるキャンペーンを実施していました。
 
セブン‐イレブンのキャンペーンでは、公式Twitterアカウントをフォローし、対象のツイートをリツイートの上で、専用サイトにアクセスすることで応募できる仕組みとなっていました。

過剰なアクセス権限を要求

キャンペーン専用サイトでは、応募者のTwitterアカウントへのアクセス許可を求める仕様でしたが、セブン‐イレブンによると、誤って過剰な権限を求める仕組みになっていました。
 
Twitterユーザーの300x氏(@300x)の投稿によると、アカウントの閲覧権限に加え、プロフィールの変更や、ツイートの送信、ダイレクトメッセージ等の管理権限まで求められていたようです。
 

ユーザーに謝罪

セブン‐イレブンは7月15日、問題を公表して顧客に謝罪するとともに、7月12日午後11時にTwitterキャンペーンを中止し、過剰な権限については7月14日に削除したと表明しました。
 
なお、商品交換に必要なユーザーデータは、商品交換後または交換期間終了後速やかに削除するとしています。
 


 
セブン‐イレブンの発表を受け、Twitterでは、2019年の導入直後に不正アクセス被害が多発した「7pay」の失敗に言及する投稿が散見されました。
 
 
Source:セブン‐イレブン・ジャパン, 300x / Twitter
(seng)

モバイルバージョンを終了