やや古い話だがid:BEWの「全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった1つの理由」という日記で楽天に個人情報漏洩の欠陥があるにも関わらず楽天が対応しないという話があった。
その数日前に書いた「楽天である条件の下だと別のユーザーでログインできてしまう件+α」という記事が予想に反してあまり話題にならなかったので煽情的なタイトルにしたたそうだ。こちらはBEW氏が意図した通り「また楽天か」的なムードがはてブやTwitterで沸き上がった。
しかし楽天からBEW氏の期待していたような発表は一切なく、逆にプロキシ犯人説が上がり初めた。しかしBEW氏はプロキシ犯人説を理解できないのか中途半端な検証を繰り返し、IPAに報告してみろというアドバイスもなぜか無視。そのうち「(現状を)まとめるのに労力がいるのでお知らせするのが遅くなっています。」「何を基準に判断するか、というのが難しい案件です。」「もう僕の環境からは再現しません」「楽天の方を信じるならそれでいいんじゃないでしょうか」と語尾を濁すような表現が多くなってきた。この時点で私はプロキシ犯人説を確信し「再現しないなら当時の再現方法を公開しては?」とコメントしてみたが、そのコメントが公開されることはなかった。恐らく他にも都合の悪いコメントは無視されているのだろう。
BEW氏が巻き起こした楽天不信の波は大きい。はてブやTwitterで楽天IDを削除したと言っていた人々の大半はその結末を知らずに、これからも楽天と名のつくものを避け続けるのだろう。
今回の被害者は楽天だったが、この見事なFUDはどのサイトにでも使える。Yahooだろうと、はてなだろうと、あなたのサイトだろうと。楽天は静観する事を選んだようだが、追随するバカが現れた場合全てのサイト運営者が第二のニセ脆弱性被害者となりうる。BEW氏に自ら訂正する意志がないのなら楽天はこの悪例を放置することなく、きちんと潰して欲しい。
BEW氏の犯したミスは4つ。
プロキシ犯人説でもいいんだが、相当強固にリクエストを無視するプロキシがあったとして、 セッションハイジャックができたらまずいんじゃねーか? そういう企業プロキシが存在して...