出会い系アプリをハッキング!運営のひどすぎる対応とは
引用元:https://news.ycombinator.com/item?id=43964937
擁護するつもりはないんだけど、このアプリってどうやら大学生が作ったかなり初心者のレベルみたいなんだ。セキュリティとかコミュニケーションとかちゃんとやるべきだけど、大企業が同じような問題起こした時の対応と比べると、あんまり厳しく言わなくてもいいんじゃないかなって思うんだよね。GeorgetownVoice.com/2025/04/06/georgetown-students-c…
それは絶対違うって言いたい。「ちゃんとわかってなかったんだから、そんなに厳しく評価しないで」なんて、バカバカしい言い草だろ。わかってなかったくせに、それでもやっちゃったんだぞ。俺に言わせれば、それは情状酌量どころか、さらにタチが悪い要因だよ。運転手が事故で誰か殺しておいて、後から免許持ってませんでした、ってわかるようなもんだ。
まさにこういうことが起きるから、ソフトウェア開発も土木工学みたいに免許制にするべきだって俺は思うんだ。みんな文句言うだろうし、色々なものを壊すかもしれないってのはわかるけど、かかってこいよ。こんなクソみたいなのが起きるのが、まさに免許制が必要な理由で、このアイデアが基本的には良くないなんて、俺を説得できる奴はいないね。
俺にいいアイデアがある。アプリのセキュリティについて何も知らないなら、アプリを作るなよ。「論点ずらしだ!」とか言われても気にしないけど、これマジで気分悪くなったし、お前のコメント(多分3569)も全然役に立たなかった。若い友達がマッチングアプリ使ってるから、彼らの情報が誰にでも晒される可能性があるなんてゾッとするし、作った奴らは反省するべきだ。情報を全部公開されてるって教えたのに、運営に無視されたことも反省すべきだな。もし俺が「会社」に無視されたら、ブログ記事なんてこんな丁寧には書いてないね。アプリ、作るの、やめろ。
そうさ、あいまいな言葉で包まれた権威主義的な主張には、喜んで戦ってやるよ。
エンジニアの免許制が権威主義的だとは思わないんだけどな。なんでそう思うのか、是非聞いてみたいな。(特に、ほとんどの「本当の」工学分野では、100年も免許制があるけど、そのプロセスに何か文句が出てるなんてこと、ないんだし)。
プログラミングは政府発行の免許が必要で、正式に認定された学校の卒業生に限定されるべきだ。許可なくチューリング完全なコンパイラやインタプリタを持ってるだけで重罪にしようぜ。
ソフトウェアを作る人を制限するのが権威主義的じゃないって、理解できないの?仮想のソフトウェアを作るのと、物理的な構造物を作るのって、かなり明白な違いがあるだろ。もちろん、建物や道路を作る物理的なエンジニアは安全のために規制される必要があるよ。そして、ヘルスケアみたいな特定のソフトウェア産業には既に制限がある。でも、他の多くの種類のソフトウェアは同じような危険がないんだから、免許なんていらないはずだ。濫用されやすいだけだろ。
アイデアは良いんだけど、現実的にどうやって実現するのか、俺にはよくわからないな。今の業界標準とか監査なんて、役に立つセキュリティじゃなくて、ただのチェックボックスこなすだけの馬鹿げたものだし。一番大きな会社だって、セキュリティ設計に関してはひどいことが多い。政府のセキュリティルールなんて、最先端から何年も遅れてるんだ。(例えば、NISTがパスワードの定期変更を推奨するのをやめるのに、どれだけ時間がかかったと思う?)。土木工学がうまくいってるのは、だいたい全部解決済みだからだよ。でも、PCIとかSOXとか見てると、多分俺たちは、壊れたソフトウェアと一緒に、本のページ数くらいのドキュメントと監査証跡を作ることを義務付けられるだけだろうな。
POC(概念実証)をそのままPROD(本番環境)に出すのはやめろよ。POCとかMVP(最小限の実行可能な製品)で、アプリが何をするかのクールなロジック全部入ったやつを作るのは全然悪くないんだ。それは大体資金集めとかのためにやることだけど、リリースする前にちゃんとやれよ。リリース段階の一部として、POCを改良して/武器化されたバージョンにするべきで、POCそのものを出すべきじゃないんだ。武器化されたバージョンにはセキュリティ機能を追加するべきだ。それって、「アプリを作るな」って言うより、ずっと良い方法だろ。
ソフトウェア開発全般を制限すべきじゃないけど、PIIを扱う開発者は適当な経験だけじゃなくちゃんと能力示すべきだって意見には同意。Flappy BirdとかGithubのPythonスクリプトを違法にしろなんて誰も言ってないだろ。家でロボット作るのと、街の真ん中に橋作るのとは違うんだよ。
まさにこれが、civil engineeringみたいにsoftware engineeringにもlicensing requirementが必要だって思う理由だよ。
civil engineeringにlicensingが必要なのは、多くの人が死ぬ可能性がある特定の活動がlicensed engineersに限定されてるからだろ。
大きな失敗があっても、被害者が会社を訴える気にもならないなら、licenseなんて正当化されないよ。
同意:securityできないなら、dating appsなんて作るな。ああいうのが集めるdataは一夜にしてlivesをruinしかねない。これはtheoryじゃない、最近のexampleがこれだよ:https://www.bbc.com/news/articles/c74nlgyv7r4o
この”devs”たちはprod環境にpassport informationとかPIIを集めるappをreleaseした。そんな情報を要求する権利はない。もし名前が公表されてたら、hiring managerは雇うか?app作りをやめろって言うか?彼らはstalkersを助長したんだ。security knowledgeある人が調べたら、もっと問題あるに違いない。VC資金集めてPIIを集めることで”service拡大”するのとじゃ違う。PIIを正しく扱わないならapp作るのやめろ。
あんた institutional privilege score に20 pts 貢献成功だね; Impressive! 次のbadge:”Class Immobility”まであと一歩だ(95%のusersは意識せずunlock!)
unlock方法:
accredited education を受ける機会を否定される。
半分の recognition で twice as hard 働く。
gatekeepers が自分たちをcongratulateしてる間に、opportunities が通り過ぎるのを見守る。
プログラミングには、政府が発行してちゃんと認定された学校の卒業生に限定される免許が必要だ、だって?
ナンセンスだ。computer science の PhDs を持ってるのに、coding bootcaps 出たばっかの kids より簡単に out-performed された奴いくらでも見てきたぞ。written exampls いくつかやるのに5年間費やしただけで、cyber security の competent がつくと思うか? Absurd。
言い訳じゃないけど、こういうHNのresponsesはすごいhypocriticalだよ。US techは”go fast, break things” mentality。huge backersがいるcompaniesでもroutinely security失敗してるし、exposeした奴をsuppressするために金使ってる所もある。ここにいるHN folksの多くは、これより遥かにworseなことやってて逃げ切れてるcompaniesで働いてる。
一部のcompanies、unicornsは知っててlawsをbreakしてget aheadしてる。でも彼らはbigで、働いてるpeopleはrichだからcrucifyしないんだ。
俺がhiring managerになるのはありえない。mistakes犯したからって即firingはしない。間違いを正してmove on。あのdevもattentionが必要だって覚えるだろう。app作る過程でhiring managerがいてsecurity knowledgeあるemployeesを雇わなかったcompanyなら、company全体がrotten。あんたと同じlogicで言えば、appにpassport informationを提供する気があるtypeのpersonなら、app使うのやめろ。
OPは「software engineeringにはlicensing requirementが必要だ」ってstatementをqualifyしなかった。PIIとか具体的なこと何も言ってない。SWEにはもうregulationsがある。license requirementの必要性は感じないな…PIIに関しては、NSAが全員のdataをwill or knowledgeなしにcollectしてたことがprovenされてるのに、govがregulateするってのはhypocriticalだ。
こういうappsはtemporary or otherwise、matesを探してるpeopleのためのものだ。”dummyがappにpassport info渡した”っていうより、もっとnuanceがあるのかも。
規制は権威主義じゃないなら細かいこと話したいな。子供の棒の橋と土木エンジニアの免許は違う例でしょ?俺は unreasonable じゃないよ。ただ、これまでの被害が多すぎて「誰でも責任ゼロで好きなソフト作っていい」ってのは無理だと思うんだ。学生に後から liable にしても、データ漏洩した人には全然 consolation にならないし、金も取れないだろうしね。後からじゃなくて、ライセンスとか upfront な対策じゃないと防げないんじゃないの?
1億5千万人以上の identity theft のリスクは、なんか予防策は必要だと思うな。訴訟も何百件もあったしね。
例えば Equifax の2017年のデータ漏洩とか。
あと British Post Office の scandal で自殺者4人と冤罪900人以上とか。
出会い系アプリの漏洩で extortion、自殺、 medical information 漏洩もあったよね。
有名な Therac-25 は race condition のせいで人死んでるし。
君はどこまで被害が出たら納得するわけ?
まぁそれはそうだけど、ちょっと。OTP(秘密なはずなのに)をレスポンスで返すとか、ベテラン developer だろうが高校生だろうが common sense だろ。それにこれ commercial product なんだし、遊びで作ったもんじゃないんだからね。
俺も”Cerca”情報探してこのリンク見たけど、未来の日付でアプリ褒めてたりして、LLMが hallucinate したみたいで怪しいんだよ。スレ主が連絡した時期とも合わないし。リリース直後の vulnerability か変な scheme かどっちかだね。まあ:「2ヶ月前の vulnerability」と「2ヶ月前の student-made app」ってこと。
federal tax information 扱う project で IRS 1075 compliance の仕事したことあるけど、古い基準で security と compliance 両立無理だったんだよね。基準から外れてるとこ document して self-report して audit されたり。 dozen 人で almost a year かかったよ。これ全部、 US の州( S Carolina だったかな)が egregious に incompetent で breached されたから、 Congress がなんかしたんだ。
出会い探しで、相手に passport 見せてって言われたことなんて一度もないぞ。 common sense 使うべき時ってあるんだ。もし app が変に invasive な data 求めてきたら、やめとけ。 The juice isn’t worth the squeeze
info leak を物理安全と一緒にすんな。規制で open source や anonymous な人困るぞ。 software のおかげで世界は便利になったんだし。学生が liable でも leak された人は救われないって? license あっても leak は防げないし、 online の情報は leak される assume しろ。規制で photo ID 必須とかになると、匿名性失われて data leak のリスク増えるんだよ。
engineer licenses が必要なものって、かなり例外あるし、 software がどこに当てはまるか結構 unclear だよね。 liability waiver にサインすれば、色んな dangerous なことできるし。
大体の”real” engineering field は100年 license requirements あったけど、その process に real な complaints はないんだ。
新しい engineering field は license から離れてる trend で、逆じゃない。例えば、 medical device や drug engineering は全然使ってないよ。
Agreed 。俺の stance は、身内が actual engineer ( structural )と結婚して、その世界がよく分かってから数年で変わったんだ。 software developer が billions の lives に real な measurable damage を簡単に与えても real な liability がないって、マジ astonishing だよ。 licensed で insured で liable になれるまで、 building engineer と同じように、自分を engineer って呼ぶべきじゃないね。
セキュリティの基準を常に研究・更新してる管理機関なんてないんだよな。正直あるべきなんだけど、ない。プロの技術者団体とか医療委員会、弁護士会とかとは違うんだよね。あいつらはちゃんと基準を定期的に更新してて、専門組織として結構まとも。
技術分野で現状そうじゃないって言っても、不可能ってわけじゃないんだけど。だから、PCIとかSOC2みたいな普通の基準も実際は形式的になっちゃってる。業界にもっと良くしろって責任を負わせるものがないし、協会のメンバーが実質的な不正行為で誰かや組織を告発しても、法的にバックアップしてくれるものもないんだ。
もっとコメントを表示(1)
中小企業のエンジニアとして、自分の責任が心配になる時があるよ。PCIとかHIPAAが適用されない規制対象外の事業がたくさんあるじゃん。小さい組織だと、セキュリティってただのエンジニアリング上の懸念で、組織的な義務じゃないんだよね。プロダクトチームは機能に集中して、PMは納期、QAはバグ探しって感じで、セキュリティについて理路整然と話す人なんてめったにいない。エンジニアはタスクボードにあるものを納品するだけで、それ以外はあんまり求められないんだ。
もし納期を遅らせずに製品を安全にできればいいけど、そうじゃないとPMとか誰かからプレッシャー受けるんだ。
”それ、どんだけ時間かかるわけ?”
とか、”それって実際どれくらいリスクあるの?”
とか、”セキュリティは後でいいから、とりあえずMVPを顧客に出そうぜ”
とか言われるんだよ。だから、従業員としては、雇い主が要求することをやってる。でも、誰かがハッキングとかデータ漏洩で雇い主を訴えたとして、俺が”もっと良く知っておくべきだった”っていう唯一の人間だからって、個人的に責任を問われることってあるのかな?
業界によるね。たとえSWEがPEじゃなくても、安全性に関わる全てのことにサインする人は絶対にいるよ。
SoftTalkerはSWEがProfessional Engineerじゃないことを言ってるんだろうね。Professional Engineer(PE)とEngineer(多くの管轄区で)は違うんだよ。
>A professional engineer is competent by virtue of his/her fundamental education and training to apply the scientific method and outlook to the analysis and solution of engineering problems.
>He/she is able to assume personal responsibility for the development and application of engineering science and knowledge, notably in research, design, construction, manufacturing, superintending, managing, and in the education of the engineer.
LLC/Corpなら企業の壁で守られるはずだよ、犯罪行為を文書化してない限りはね。
でもさ、規模問わず組織全体のセキュリティ基準がないのはひどいよね。新機能リリースが常にセキュリティ対策より優先されるみたいだ。
個人的には、自分を守るために法律をしっかり知っておきたいし、違法なことには何でも書面で反対したい。それで”気にしなくていい”って書面での許可を得て、完全に保護されたいね。でも、スタートアップとかで開発者が1人か2人だけだと、これすら難しいってのはわかる。個人的には、もし違法な作業をやってると思ったら辞めるかな。
中小組織のエンジニアとして、これらのリスクについてチームの他のメンバーを教育して、これらの問題軽減に開発時間を確保するようにプッシュするのが俺たちの責任だと思う。簡単じゃないけど、真剣にやらないとビジネスを潰しかねない重要なことだよ。
”上からの命令だっただけです”っていう弁解は心底嫌いだけど、そういうことは何でも書面に残すようにしろよ。セキュリティ不足の懸念を伝えたメールの記録とか、それを気にしなくていいって上司からの返信とかね。
お前がどこにいるか知らないけど、データ漏洩で一般社員個人が法的に責任を問われたケースは聞いたことないな。(というか、データ漏洩で誰かが何か責任取るなんてこと自体あんまりないんだよ。せいぜい会社が形式的な罰金払って、何も気にせず次に進むだけ。)
セキュリティの懸念は絶対書面に残しとけ、メールとかでさ。上司が「そんなの書面に残さねえよ」って言ったのに、結局折れた経験があるよ。でも、それやるには会社での立場がめちゃくちゃ大事なんだ。これはUK firmでDevOpsチームをまとめてた時だからできたこと。より代えがきくAmerican startupのソフトウェアエンジニアだったら絶対無理だったろうな、特に今の求人状況じゃね。
会社の役員じゃないなら、個人的な責任はないと思うけどな。
やっべ!よく見つけたね!研究者としての法的リスクを減らすには、別アカウント作るか、友達に作ってもらって同意を得てアクセスするだけで十分だったと思うよ。全データをスクレイピングしなくても、列挙の問題があることは証明できるしね。自分のIDが12345で、友達のが12357なら、IDさえ分かれば誰のプロフにもアクセスできるって証明になるはず。他の人も言ってるけど、他のユーザーの大量のPIIにアクセスするのは、脆弱性を確認・報告するには不必要だよ。
これはほとんどのセキュリティ研究者が無視してる、当たり前で標準的なやり方だよ。PII保護を主張しながら、証明のためにデータをスクレイピングするのは不必要だし、偽善的だよね。
えー、脆弱性の評価って、どれだけ深いか調べる部分もあるでしょ。全データにアクセスするのに何の障壁もなかったって示すのは、有効な調査だよ。そうしないと、運営側が後から”あー、レートリミットあったし”とか”ネットワーク脆弱性スキャナーで防げたはず”とか言い訳するかもじゃん。
Webアプリの脆弱性がどういうものか分かってないね。そういう言い訳は、”ハッカーがFireProx知ってるってことだよ”って簡単に言い返せるだろ。
この記事、ちょっと分かりにくいかな。
>まずログイン。OTPだけ…BOOM – OTPがレスポンスに直接入ってた。つまり電話番号だけで誰のアカウントにもアクセスできるってこと。
これがどういう意味か説明してないけど、たぶん電話番号推測したらAPIがOTPを返しちゃったってこと?あと、何千人ものユーザーデータを取得したって書いてるけど、これはweevがAT&Tでやって刑務所行きになった件とほぼ同じだよ[0]。権限なく他人のデータにアクセスしたって自慢するのはリスク高すぎ。研究者には法律が厳しいってこと、知っとくべきだね[0] https://en.wikipedia.org/wiki/Goatse_Security#AT&T/iPad_emai…
うん、電話番号を推測したって書いてあるね。で、OTP送るAPI呼び出したら・・・文字通りOTPが返ってきたって。
うん、APIがOTPを返す必要はまったくないと思うけど、深刻さはAPIの呼び出し方によるよね。予測不能な40文字トークンなら悪くないけど、推測できる4桁の番号だったら全然違う。文脈からすると後者に近いと思うけど、著者がもう少し詳しく説明してくれたら分かりやすかったね。
やっほー、筆者だよ!分かりにくかったならごめんね。エンドポイントは電話番号をPOSTするだけだったんだ。だからそれだけで誰かの垢を乗っ取れたんだよ。
ちょっと分かりにくいかもね。言ってることは分かるけど、これだとスレッドを色々読まないとちゃんと理解できないよ。超簡単に言うと、電話番号でOTP送るエンドポイントがあったんだけど、OTPをユーザーに送るだけじゃなくて、クライアントにも返しちゃってたのがヤバいんだ。これじゃOTPの意味ないじゃん。金庫の暗証番号を付箋に書いて貼っとくみたいなもんだよ。
Auernheimerの件の訴状を読んでみてよ。検察は(広範な)意図の証拠を持ってたけど、ここにはそんなのなさそう。あと、その事件の被告はPIIを開示したって責められてたけど、この件ではそう見えないね。
投稿の見出し、”I hacked…”ってやつ、これほとんど自白と取られかねないなーって思ってたんだけど、リンク先の記事の実際のタイトルじゃないんだね。タイトルがクリックベイトで盛りすぎだから、投稿をフラグ立ててやりたい衝動に駆られるよ。
これ、筆者が投稿したんだよ:https://news.ycombinator.com/item?id=43966279
うん、Auernheimerの方が起訴しやすかっただろうね、それは同意。でも、この学生がここでやってることって法的に安全だと思う?
個人的には統計取るためにエンドポイントをスクレイピングしたりはしないかな。俺はリスク回避型だからね。でも、誠実なセキュリティ研究の起訴ってあんま好まれないし、誠実さを装ってるって思われるようなことさえしなければ(あんたが何度も言ってた裁判の被告みたいにね)、多分大丈夫じゃない?それよりさ、ここでスクレイピングしたところで何も得られるものないんだよ。脆弱性報告が面白くなるわけでもないし、ただニュースっぽく見せようとしてるだけに見える。リスクは(超小さいけど)ゼロじゃないのに、リターンはゼロ。
別の出会い系アプリでも似たような経験あるんだよね。向こうからは結局連絡なかったけど。創業者のbioを「俺に連絡しろ」ってテキストに変えて注意引こうとしたら、向こうバックアップ戻しやがった(笑)
何年か後に彼らのInstagram広告見て、あの問題まだあるかなーって試したら、あったんだよマジで。要するに、APIエンドポイントの知識があれば(アプリプロキシサーバー使えば簡単に見つかる)、マジで完全な管理者権限とメッセージとかマッチングとか全部にアクセスできちゃったわけ。
もう一回戻って試してみるべきかなあ…? :-?
責任ある開発者として、連絡先持ってちゃんと開示して、次に進めばいいじゃん。
会社がセキュリティ報告にちゃんと対応しないほど無責任なら、追求なんかしないで、代わりに世界に公開すべきだよ。
正直、同意だな。こういうデカいバグはFunimationと出会い系アプリの2つに送ったことあるよ。Funimationは他人のPIIとか注文履歴とかアクセスできたけど、CTOにそのPII(CC number)入りのLinkedInメッセージ送るまで無視だった。出会い系アプリの方は、特定の操作でプライベートデータ(admin/mod notes、報告、プライベート画像、bcrytped password、ASIN、IPとか)がwebsocketでだだ漏れだったんだ。原因となる操作を見つけてメールしたら、12時間以内に直してくれて、お礼にバグバウンティプログラム作って払ってくれたよ。大事なのは、他人のデータやアカウントは使わなかったこと。自分で別アカウント作って攻撃を証明したんだ。そのために月10ドルぐらいかかったけど、それも返金してくれた。
経験あるよ。Seattle市には2年近くデジタルウォレットのヤバいとこ直せって言い続けたけど、変な対応されただけで全然直してくれなかった。ベンダーも教えてくれないから、他のとこでもこの問題あるかもって伝えられなかったし。こういう戦術の目的は、公開を諦めさせることだから、公開しちゃえ。倫理的に法律の範囲内でアクセス・公開すればね。
ちょっとテストしたら、前に取れた完全なadminアクセスは少し修正/変更されてるみたい。もし全ユーザーデータが完全に危なかったって示す十分なデータがあっても、今は変更されてたら(まだ脆弱かもだけど、直ったと仮定して)、それでも何か公開すべきかな?彼らはユーザーにそういう問題があったって通知すべきだったでしょ?
パスポートとか住所みたいな超大事な情報を扱う前に、運営はもっと真剣に考えるよう強制されるべき。こういうのは子供が作ったアプリだって言って片付けられることじゃないでしょ。
もっとコメントを表示(2)
パスポートとか他のID情報みたいなのは、入力し終わったらその後は完全に公開する必要なんてないんだよ。UIで表示するためにデータを取れるAPIが欲しいとしても、パスポート/ID番号全部を含める必要なんてない。少なくとも最後の数桁だけにしてAPIで返せばいい。でも出会い系サイトみたいなのだと、APIはIDが認証済みかどうかのtrue/falseだけ(か、’not-verified’、’passport’、’drivers-license’みたいなenum)返すだけで十分。クライアント/UIに詳細を全部表示する必要なんて全然ない。(例えば、移民目的で本人確認書類を選ばなきゃいけない航空会社アプリとは対照的で、そういう時はユーザーにもっと詳細を見せて選ばせる方がいい。でもそういう時でさえ、Unitedアプリみたいにパスポート番号の最後の数桁しか表示しない…内部APIでもそうやって全部送ってないことを願うよ。)
UK政府はアダルトサイト見るのにID義務付けようとすごく必死だよ。あれが爆死するの早く見たいね。
「彼ら」は気にしないよ。こういう法律の全体の目的は、そういうサイトに行ったのがバレる摩擦や恐怖を増やして、最初から行かせないようにすること。
政府が運営するような安全でプライベートな本人確認サービスが必要なんじゃない?それか、AppleとかGoogleみたいな”government-like”な機関でもいいかも。
OAuthってあるじゃん。あれ使ってGoogleアカウントと連携させれば本人確認できるんじゃない?
まあさ、正直Googleアカウントを自分のデーティングプロフィールに連携させるのは嫌だな。サービスをまとめて使うのってリスクもあるし。
じゃあさ、サブのGoogleアカウントだったら?
うん、でもそれって結局そのサブアカウントに紐づいたサービスにパスポートとか上げなきゃいけないってことでしょ。現実的じゃないなあ。
Googleアカウントを連携してもさ、それ本人確認にはならないって。単にその名前でGoogleアカウント作ったってわかるだけじゃん。
Googleアカウントなんて本人証明には全然ならないよ。
政府が何でも解決するなんてのは最悪の方法だよ。(これは君への攻撃じゃなくてね、”the government should do it”って意見が出るたびに言ってるんだけどさ)。
政府が最悪の解決策になっちゃうのは、ロビー活動とか弁護士のせいなんだよね。本来はそうじゃなくていいはずなのに。
それより、こういうのを間違ったやり方でやる奴らを追及するFDPA(Federal Data Protection Administration)みたいな組織が見たいな。
governmentで働いてた時、2ヶ月以内に俺のデータ全部black marketに漏洩させられたんだ。
governmentなんてクソみたいな認証するべきじゃないね.
governmentはもうお前のデータ全部持ってんだから、誰が本人確認するべきだって思ってんだかよく分かんないね.
で、俺が言いたいのは「奴らが漏らす」ってことなんだよ.だからちゃんと保管もできないのに、データを持ってて確認までさせるなんてほとんど意味ないんだ.
奴らは公開されてるデータを認証することになるだろうね.
でも、他にどんなデータを持たれるのがそんなに心配なの?
プライベート企業ができないならさ.governmentができない方にダブル・オア・ナッシングで賭けてもいいぜ.
https://news.ycombinator.com/item?id=43996307
ほら見てみ;GDPR
https://en.wikipedia.org/wiki/General_Data_Protection_Regula…
USは絶対に似たような法律が必要だね.
なんかサードパーティの本人確認サービス使ってなかったの?
俺が普段見るアプリはだいたいそうしてるけど.
まさかそのサードパーティサービスがアプリにまだID(実際の画像とか)共有してるなんて言わないよね?
記事読めよ.
明らかに運営独自のOTP設定があるって書いてるだろ.
でもパスポートを要求してるんなら、運営側がそれにアクセスできるってことだ.
サードパーティが要求して、チェックマークとかリスク低減されたデータを提供するって話じゃないんだよ.
記事は読んだけど、OTPは本人確認とは関係ないよ.
俺が本人確認する時はいつも、信頼できるはずのサードパーティサービスを使うアプリばかりだったから聞いてるんだ.
