RSA Conference、参加登録者のTwitter認証情報を収集していたのではないかと疑われる

2月29日から米国・サンフランシスコで開催されるRSA Conference USA 2016(RSAC 2016 )の参加登録ページで、登録者のTwitterアカウント情報を収集しているのではないかという疑惑が持ち上がり、OAuthで使用するためのものだとRSA Conferenceが反論している(CSO Online — Salted Hashの記事、The Registerの記事、RSA Conferenceのブログ記事)。

該当のページは参加登録完了後に表示され、RSAC 2016に誘う内容のツイートをするよう促す内容となっている。しかし、参加登録者からTwitterの認証情報を収集しているのではないかとの疑問が上がり、フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信されることがその後確認された。

これについてメディアではRSA ConferenceがOAuthを使用せず、登録者のTwitter認証情報を収集していると報じたことから、RSA Conferenceが反論。Twitterに承認されたAPIで認証を行っており、実際にOAuthを使用していると説明する一方で、これ以上の懸念を避けるためAPIの使用を中止するとの声明を出している。

セキュリティ専門家のJim Manico氏がSalted Hashに伝えたところによれば、TwitterのOAuth APIは多数の認証オプションがあり、RSA Conferenceが使用した認証情報を一時収集する方法もオプションの一つであるという。しかし、この方法は安全性が低く、疑惑も持たれやすい。そのため、実装はより難しくなるものの、認証情報を収集することなくRSA Conferenceがユーザーに代わってツイートできるオプションを選ぶべきだったとの見解をManico氏は示している。　スラドのコメントを読む | セキュリティセクション | セキュリティ | YRO | Twitter | プライバシ

　関連ストーリー：
RSA、乱数生成アルゴリズム採用とNSAとの関係を否定 2013年12月25日
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる 2013年12月22日
New York Comic Conの主催者が来場者のSNSアカウントを使い、勝手にメッセージを投稿 2013年10月14日
「ソーシャルサインイン」の利用を見直す動き 2012年12月06日
Twitter APIのルール変更、API利用時の承認必須化など制限を強化 2012年08月17日