　ユニクロが5月24日にスタートしたTwitter連動キャンペーン「UNIQLO LUCKY LINE」で、登録者のTwitter IDやつぶやきを一覧表にしたテキストファイルがWeb公開されていたことが分かり、「Twitterのパスワードも漏れているのでは」とユーザーの間で不安が高まった。ユニクロは26日、「パスワード漏えいの事実はない」と発表。一覧表ファイルをWebから削除するなど対処を進めている。

　UNIQLO LUCKY LINEは、Twitterアカウントとパスワードを登録し、つぶやきを入力すると、人間や動物などのアバターが登場、ユーザーの代理として店舗への行列に並ぶと同時に、つぶやきをTwitterに送信するというもの。並んでいるアバターからは吹き出しが現れ、Twitterのユーザー名やアイコン、入力したつぶやきが表示される。25日午後6時までにで9万人以上が利用している。

　24日夕方ごろ、UNIQLO LUCKY LINEに登録したユーザーのTwitter IDやつぶやきを一覧表にしたテキストファイルがWeb公開されているとネットユーザーが指摘。「パスワードも漏れているのでは」とユーザーの間で不安が高まった。

　ユニクロによると、テキストファイルに書かれていたのはTwitterのID、ユーザー名、アイコン画像パス、つぶやき文言、アバターの服装データ、つぶやいた日時、行列参加日時、行列番号で、それぞれ公開されている情報。パスワードはTwitterと通信する場合のみ利用し、データベースに保存しておらず、「パスワード漏えいの事実はない」という。

　同サービスはパスワードを暗号化していないのではという指摘もあり、Twitterが推奨している比較的セキュアな認証方式・OAuth認証も利用していない。同社はセキュリティ体制についてなど「調査を続けていく」としている。UNIQLO LUCKY LINEのサービスは予定通り続ける。

Twitter、BASIC認証を6月末に終了　OAuthとxAuthのみに
米Twitterは、TwitterのAPIのBASIC認証を6月末に終了する。OAuthかxAuthのみにし、セキュリティを強化する狙い。
「OAuth」とは　日本のユーザー襲った“Twitterスパム”の正体
ユーザーのアカウントを踏み台にし、スパムDM（ダイレクトメッセージ）を大量にまき散らす――Twitterで出回った「MobsterWorld」のスパムDMは、「OAuth」を悪用したものだった。