荷物追跡アプリ「ウケトル」に対しIDやパスワードが第三者に利用される危険性があるとしてヤマト運輸が注意喚起 36
ストーリー by hylom
ヤマトは無関係 部門より
ヤマトは無関係 部門より
ヤマト運輸のオンラインサービスのIDとパスワードを登録することで荷物の追跡などを行えるスマートフォン向けアプリ「ウケトル」に対し、ヤマト運輸が「正式に提携したサービスではない」として、注意喚起を行っている(ハフィントンポスト)。
このアプリは利用者が入力したヤマト運輸オンラインサービスのID/パスワードを使ってヤマト運輸のサービスにログインして情報を取得し表示する仕組みとのことだが、ヤマト運輸はこれについてパスワード等を第三者が利用することを禁じた「クロネコメンバーズ規約」に違反する可能性があるとし、またヤマト運輸側ではこれらのID/パスワードが適切に管理できているか確認できないとし、これら情報の周出や第三者による不正利用のおそれもあるとしている。
いっぽうでアプリ「ウケトル」側はTwitterで入力されたID/パスワードについて「皆様のスマホにのみ保存されており、一切ウケトルでは保有しておりません」としている。
MoneyForward (スコア:5, 興味深い)
HIRATA Yasuyuki
Re: (スコア:0)
使っている人に聞いたら「取引パスワードまで渡していないから大丈夫」だって怖いなって思った.
でも,金融機関自体が進めているケースもあって闇は深いなって.
Re:MoneyForward (スコア:1)
セキュリティ等々についてもかなり気を配っている様なので、それほど闇ではないのかと。
Re: (スコア:0)
金融機関・特定サービス向けマネーフォワード [moneyforward.com]ですね.
自分のところの金融サービスはきちんと対応しているとして,ほかのIDやパスワードを登録させる誘因になっています.
Re: (スコア:0)
法人向けバンキングだと権限設定で通帳読み取りしかできないアカウントを作って対応しますけど、
個人だとそうはいかないですからねぇ…。
決済処理はワンタイムパスワード必須になってきているので、
「取引パスワードは渡していない」は一応成立しますが…。
Re: (スコア:0)
MoneyForwardは知りませんが、Moneytreeはパスワードが漏洩したら非常に困ったことになる当事者のメガバンクが出資しているので、ある程度は睨みが効いているのかなと思っています。
クロネコメンバーズの情報が漏れると (スコア:3, 参考になる)
皆さんのコメントを読んでると、単に追跡情報が漏れるだけみたいに思っている方が多いようですが、ヤマトが問題にしているのは「クロネコメンバーズ」のIDとパスワードの漏洩。
荷物の追跡だけなら問い合わせ番号だけでできるのですが、クロネコメンバーズでログインすると荷物の配送先の変更までできるようになります。結果として、荷物の横取り、身元を隠しての違法入手品の受け取りが自由自在にできるようになります。
リンクされてるTwitterのスレッドからしても危なそう (スコア:2, 参考になる)
https://twitter.com/Uketoru_Company/status/1125632592470872065 [twitter.com]
・ユーザー名パスワードをサーバーに保管していたが仕様を変更中?などとあやふやなお返事
・ヤマト等と提携していると称していた(大嘘)
これはダメダメなのでは
まったく信用出来ないんだけど
Re: (スコア:0)
検索すると"連携"という書き方でPRサイトなどのニュースが出ていますね
ZOZOTOWN、ヨドバシカメラ、楽天市場、amazon、等々
どこも"提携"はしていないという点がポイントでしょうか
信用 (スコア:0)
こういう第三者的アプリがいまいち信用できない
便利だとは思うんだけどね
Twitterでも色々ツッコまれてるしどうなんだろ
Re:信用 (スコア:1)
だからTwitter連携ログインみたいなOAuthが出来たんだろ
連携ログインなら後で権限の取り消しができるだろ
Re: (スコア:0)
まともに実装してサポートしてるサービスが少なすぎるかと。
IT専業の企業じゃない限り、自社のデータをなんで他社が使えるようにしなきゃならんのだ、金かけてまで、というのがほとんどだろう。
だから金融機関も動きは超絶遅い。
当然クロネコメンバーズも非対応。
Re: (スコア:0)
よし。じゃあヤマトはOAuthに対応させるべき。いやヤマトに限らんが。
Re: (スコア:0)
最近まで配達状況のドメイン(toi.kuronekoyamato.co.jp)をSSL対応にしていなかったヤマトのIT部門が、Oauthとかやりだすのにあと10年ぐらいはかかるでしょうね。
Re: (スコア:0)
違うそうじゃない、ヤマトがこのアプリをパクってそのままリリースすればいいだけの話。
って思ったけど荷物の通知や再配達依頼なんてヤマトのアプリから普通に出来るんだよな。
ヤマトのアプリの使い勝手を直すかわかりやすいプロモーションするかで済む話じゃね。
Re:信用 (スコア:1)
このアプリは、「amazon/楽天の商品発送状況」および「ヤマト/佐川/日本郵便の配達状況」を統合的に管理するのがウリなんだから、
ヤマト単体アプリでは機能面で全然パクれるようなものじゃないですよ。
Re:信用 (スコア:1)
ヤマトはAPI用意してる
API使用しない方が悪いって言いたいのなら同意
Re: (スコア:0)
契約の必要な連携サービスはあるけれど、公開されているAPIなんてあったっけ?
Re: Re:信用 (スコア:1)
ttp://www.kuronekoyamato.co.jp/yamato/ec-cvs/engineer.html
グローバルには公開されてないけどちゃんとAPI関係の仕様書は請求、開発に利用できるみたいよ
Re:信用 (スコア:3, すばらしい洞察)
また極論を・・・
最低限信用しないと機能しないものってあるでしょ。
それ言い出したら、Windowsだって使えないし、そもそも他人が作ったCPUやHDDさえ使えなくなるよ。
Re: (スコア:0)
HUAWEIじゃないけど、誰が作ったかによって、信用するかどうかを
(根拠は人によって色々だろうけど)決めるというのは、
普通にやっているよね、OSにしろfirmwareにしろ。
Re: (スコア:0)
自分自身さえ自分が作ったもんじゃないしな。
Re:信用 (スコア:1)
Re: (スコア:0)
SONY「せやな」
Re: (スコア:0)
いやいや待って待って。
原則は「却下」だよ。特に自分が信用する、騙された時の対応は覚悟すると判断したものだけが例外であって。
極論なんて事ない。基本的な考え方は「第三者を通したパスワード入力はNG」だよ。
Re: (スコア:0)
これだよな。
ホワイトリストで管理すべき事柄を、ブラックリスト処理で当たり前と考えてしまうから疑問が出るだけだわ。
Re: (スコア:0)
ID・パスワードのオートコンプリートのことを言ってるの?
使いたくないならオフにすればいいだけ。
ブラウザを「第三者アプリ」と見立てて自分で入力するのも不可という意味で言っているのであれば、ブラウザベースのサービスはブラウザを使うこと前提(サービス提供者がブラウザを通じて提供)なのだから「第三者」とはいえないでしょ。
ブラウザが信用できないからサービスが使えないなんて #3611627 は言ってないし、勝手に拡大解釈してそれを否定するって何の意味があるの。
雑談できないタイプの人? (スコア:1)
ブラウザでさえ第三者アプリなので基本的に信用してはいけないというのは問題の本質を突いている。
あなたが信用できないものは使ってはいけない。アプリでもブラウザでもOSでも同じ。我々の安全は「何を信用するか」という選択の連続で成り立っている。
Re: (スコア:0)
ブラウザを「第三者アプリ」~の方でしょ。
標準ブラウザはまあ信用できるとして、例えばAndroidの有象無象ブラウザを信用できるかというと難しい。
キーロガーやトラフィックロガーが仕込まれていないとは限らないんだしね。
拡大解釈すると何も使用できなくなるから、線引きをどこにしようかという話でしょう。
sdk (スコア:0)
でも、SDKがお漏らししてるんでしょ。使わないでスクラッチから作ったら収入がないもんな。
仮に (スコア:0)
情報を盗んでても、「えぇ、盗んでますよw」なんていうわけないじゃん。
荷物なんてそんな多くはないし (スコア:0)
手入力で十分でしょ。
わざわざセキュリティリスク負ってまで自動処理させなくても。
そんな自分は
Deliveries
https://junecloud.com/ [junecloud.com]
前は
Parcel
https://parcelapp.net/ [parcelapp.net]
どれも手入力した後はバックグラウンドで自動で情報収集して通知くれる。