身に覚えのない請求が来るというトラブルについてニュースで話題になっている。
iTunesの個人情報が流失しているためではないかという疑いがあるが、自分は利用者のアカウント管理が不適切のためじゃないかと思う。
自分のメールアカウントに、他人のiTunesアカウントの購入確認メールが来たことがあった。
すでに自分のメールアドレスでiTunesアカウントを登録しているのに他人のiTunesアカウントが作成されるのは何事かと思っていたら、Gmailのアカウント名の取り扱いが原因だった。
たとえば、自分のメールアドレスがtaepodong-user@gmail.comだとする。
そうすると、taepodong-u.ser@gmail.comにも、User Unknownにならずにメールが届く。しかし、iTunesでは、taepodong-user@gmail.comとtaepodong-u.ser@gmail.comは違うアカウントとして認識される。そのため、自分のメールアドレスが何なのかわかっていない間抜けが私のメールアドレスでiTunesアカウントを取得してしまった。
うっとうしかったので、iTunesサポートに連絡して他人のアカウントを止めてもらったが、改めて考えると、この状態は結構危ない。
まず、住所と氏名が他人に漏れる。個人情報が流出するともいえる。
そして、アカウントが乗っ取られる。パスワードのリセットはメールアドレスを入力するだけでパスワードリセットのリンクが来る。そのリンクをクリックすると、新しいパスワードの入力が求められ、新しいパスワードを入れるだけでパスワードがリセットされる。これで、他人のアカウントで購入を行うことができるのではないかと思う。パスワードリセット後にクレジットカード番号が保持されるかどうかは確認していないが、残っていたら不正利用が行える。