パスワードを忘れた? アカウント作成
13904555 story
プライバシ

荷物追跡アプリ「ウケトル」に対しIDやパスワードが第三者に利用される危険性があるとしてヤマト運輸が注意喚起 36

ストーリー by hylom
ヤマトは無関係 部門より

ヤマト運輸のオンラインサービスのIDとパスワードを登録することで荷物の追跡などを行えるスマートフォン向けアプリ「ウケトル」に対し、ヤマト運輸が「正式に提携したサービスではない」として、注意喚起を行っている(ハフィントンポスト)。

このアプリは利用者が入力したヤマト運輸オンラインサービスのID/パスワードを使ってヤマト運輸のサービスにログインして情報を取得し表示する仕組みとのことだが、ヤマト運輸はこれについてパスワード等を第三者が利用することを禁じた「クロネコメンバーズ規約」に違反する可能性があるとし、またヤマト運輸側ではこれらのID/パスワードが適切に管理できているか確認できないとし、これら情報の周出や第三者による不正利用のおそれもあるとしている。

いっぽうでアプリ「ウケトル」側はTwitterで入力されたID/パスワードについて「皆様のスマホにのみ保存されており、一切ウケトルでは保有しておりません」としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • MoneyForward (スコア:5, 興味深い)

    by yasu (7) on 2019年05月09日 13時50分 (#3611647) ホームページ
    みんなMoneyForwardはどう考えているのかな。 ECサイトどころか、銀行や証券会社のパスワードまで業者のサーバに保管しているんだけど。
    --
    HIRATA Yasuyuki
    • by Anonymous Coward

      使っている人に聞いたら「取引パスワードまで渡していないから大丈夫」だって怖いなって思った.
      でも,金融機関自体が進めているケースもあって闇は深いなって.

      • by Spinnaker (48489) on 2019年05月09日 18時22分 (#3611815) 日記
        銀行と提携という事であれば、freeが頑張っている [freee.co.jp]のかな。
        セキュリティ等々についてもかなり気を配っている様なので、それほど闇ではないのかと。
        親コメント
      • by Anonymous Coward

        法人向けバンキングだと権限設定で通帳読み取りしかできないアカウントを作って対応しますけど、
        個人だとそうはいかないですからねぇ…。

        決済処理はワンタイムパスワード必須になってきているので、
        「取引パスワードは渡していない」は一応成立しますが…。

    • by Anonymous Coward

      MoneyForwardは知りませんが、Moneytreeはパスワードが漏洩したら非常に困ったことになる当事者のメガバンクが出資しているので、ある程度は睨みが効いているのかなと思っています。

  • by Anonymous Coward on 2019年05月09日 14時40分 (#3611671)

    皆さんのコメントを読んでると、単に追跡情報が漏れるだけみたいに思っている方が多いようですが、ヤマトが問題にしているのは「クロネコメンバーズ」のIDとパスワードの漏洩。

    荷物の追跡だけなら問い合わせ番号だけでできるのですが、クロネコメンバーズでログインすると荷物の配送先の変更までできるようになります。結果として、荷物の横取り、身元を隠しての違法入手品の受け取りが自由自在にできるようになります。

  • by Anonymous Coward on 2019年05月09日 14時39分 (#3611670)

    https://twitter.com/Uketoru_Company/status/1125632592470872065 [twitter.com]

    ・ユーザー名パスワードをサーバーに保管していたが仕様を変更中?などとあやふやなお返事
    ・ヤマト等と提携していると称していた(大嘘)

    これはダメダメなのでは
    まったく信用出来ないんだけど

    • by Anonymous Coward

      検索すると"連携"という書き方でPRサイトなどのニュースが出ていますね
      ZOZOTOWN、ヨドバシカメラ、楽天市場、amazon、等々
      どこも"提携"はしていないという点がポイントでしょうか

  • by Anonymous Coward on 2019年05月09日 13時23分 (#3611627)

    こういう第三者的アプリがいまいち信用できない
    便利だとは思うんだけどね

    Twitterでも色々ツッコまれてるしどうなんだろ

    • by Anonymous Coward on 2019年05月09日 14時15分 (#3611661)

      だからTwitter連携ログインみたいなOAuthが出来たんだろ
      連携ログインなら後で権限の取り消しができるだろ

      親コメント
      • by Anonymous Coward

        まともに実装してサポートしてるサービスが少なすぎるかと。
        IT専業の企業じゃない限り、自社のデータをなんで他社が使えるようにしなきゃならんのだ、金かけてまで、というのがほとんどだろう。
        だから金融機関も動きは超絶遅い。
        当然クロネコメンバーズも非対応。

      • by Anonymous Coward

        よし。じゃあヤマトはOAuthに対応させるべき。いやヤマトに限らんが。

        • by Anonymous Coward

          最近まで配達状況のドメイン(toi.kuronekoyamato.co.jp)をSSL対応にしていなかったヤマトのIT部門が、Oauthとかやりだすのにあと10年ぐらいはかかるでしょうね。

        • by Anonymous Coward

          違うそうじゃない、ヤマトがこのアプリをパクってそのままリリースすればいいだけの話。

          って思ったけど荷物の通知や再配達依頼なんてヤマトのアプリから普通に出来るんだよな。
          ヤマトのアプリの使い勝手を直すかわかりやすいプロモーションするかで済む話じゃね。

          • by taka2 (14791) on 2019年05月09日 20時19分 (#3611881) ホームページ 日記

            このアプリは、「amazon/楽天の商品発送状況」および「ヤマト/佐川/日本郵便の配達状況」を統合的に管理するのがウリなんだから、
            ヤマト単体アプリでは機能面で全然パクれるようなものじゃないですよ。

            親コメント
  • by Anonymous Coward on 2019年05月09日 13時25分 (#3611629)

    でも、SDKがお漏らししてるんでしょ。使わないでスクラッチから作ったら収入がないもんな。

  • by Anonymous Coward on 2019年05月09日 14時07分 (#3611658)

    情報を盗んでても、「えぇ、盗んでますよw」なんていうわけないじゃん。

  • by Anonymous Coward on 2019年05月09日 18時33分 (#3611822)

    手入力で十分でしょ。
    わざわざセキュリティリスク負ってまで自動処理させなくても。

    そんな自分は
    Deliveries
    https://junecloud.com/ [junecloud.com]

    前は
    Parcel
    https://parcelapp.net/ [parcelapp.net]

    どれも手入力した後はバックグラウンドで自動で情報収集して通知くれる。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...