セブン‐イレブン、Twitterキャンペーンで「乗っ取り」レベルの権限を要求

 
大手コンビニエンスストアのセブン‐イレブン・ジャパンは7月15日、Twitterキャンペーンにおいて、ユーザーに対して誤って過剰な権限の要求を行っていたと発表しました。

Twitterキャンペーン

セブン‐イレブンは、7月11日を「セブンイレブンの日」とし、公式Twitterアカウントにおいて、10万名にアサヒ十六茶が、50万名にお酒のアサヒ ザ・リッチが当たるキャンペーンを実施していました。
 
セブン‐イレブンのキャンペーンでは、公式Twitterアカウントをフォローし、対象のツイートをリツイートの上で、専用サイトにアクセスすることで応募できる仕組みとなっていました。

過剰なアクセス権限を要求

キャンペーン専用サイトでは、応募者のTwitterアカウントへのアクセス許可を求める仕様でしたが、セブン‐イレブンによると、誤って過剰な権限を求める仕組みになっていました。
 
Twitterユーザーの300x氏（@300x）の投稿によると、アカウントの閲覧権限に加え、プロフィールの変更や、ツイートの送信、ダイレクトメッセージ等の管理権限まで求められていたようです。
 

セブンイレブンの日のキャンペーン
Twitter乗っ取りできる程の権限を許さないと駄目なんだけど。
恐ろしいから応募やめたよ@711SEJ pic.twitter.com/Hs84xX2yoI

— 300x (@300x) July 11, 2021

ユーザーに謝罪

セブン‐イレブンは7月15日、問題を公表して顧客に謝罪するとともに、7月12日午後11時にTwitterキャンペーンを中止し、過剰な権限については7月14日に削除したと表明しました。
 
なお、商品交換に必要なユーザーデータは、商品交換後または交換期間終了後速やかに削除するとしています。
 

【Twitterキャンペーンに関するお詫びとお知らせ】
このたびは、弊社公式Twitterのキャンペーンにおいてお客様には多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
詳細につきましては弊社公式ホームページ内「重要なお知らせ」に掲載いたしました。https://t.co/iPWgklPDe0

— セブン‐イレブン・ジャパン (@711SEJ) July 15, 2021

 
セブン‐イレブンの発表を受け、Twitterでは、2019年の導入直後に不正アクセス被害が多発した「7pay」の失敗に言及する投稿が散見されました。
 
 
Source:セブン‐イレブン・ジャパン, 300x / Twitter
(seng)