0001名無しさん必死だな
2020/11/10(火) 19:08:05.01ID:v4ljZgPz0とはいえ時に、ユーザーがパスワードを忘れてしまうこともあるだろう。その場合、公式サイトにてパスワードの回復を申請することのできるページが存在する。このとき必要となるのが、アカウントと紐づけられたメールアドレスもしくは電話番号だ。アカウント名を入力後、任意のアドレス/番号に対しパスワード回復用コードが送信される旨が伝えられる。その際表示されるダイアログにて、コード送信先として設定されているアドレス/番号が確認できるように表示されているのだ。
https://automaton-media.com/articles/newsjp/20201110-142846/
問題となっているのはこの部分である。このときアカウントとリンクしているのがメールアドレスだった場合、アドレスはアスタリスクにて一部が伏せ字となった状態で提示される。ところが代わりに電話番号を連携させていた場合、コード送信先として表示される電話番号が伏せ字なしでフルに開示されてしまうというのだ。
つまりこれは、アカウント名さえわかっていれば、パスワード確認ページで入力することで誰でも個人の電話番号を見ることが可能になってしまうということだ。もしアカウント名がほかのSNSと共有のものである場合、知らない他人に当てずっぽうでアカウント名を入力された結果に番号を知られてしまうリスクがきわめて高い。本件は海外掲示板Redditにて報告され、1万1000件以上の反応を集めている。
スレッドに集まった報告を検討していくと、どうやら電話番号フル表示の不具合はすべてのユーザーに生じているわけではないようだ
すでに修正済みとの可能性もささやかれる今回の件だが、miHoYoからの公式なアナウンスは今のところ発表されていない。
ユーザーのプライバシーを危険に晒す重大な欠陥だっただけに、いつから・どのような条件で不具合が生じていたのか正式に発表されることが待たれるだろう。なお日本向けユーザーのアカウント登録時には、紐づけられる情報がアカウント名とメールアドレスのみ。電話番号による確認のオプションは存在しないため、今のところ直接的な影響はないと思われる