昨日より人気が急上昇している匿名ラブレター募集サービス「ラブレター」に関して、「Twitter連携すると乗っ取られる」「勝手にプロフィールのURLが書き換えられる」「知らない人のラブレターにログインしてた」「他の人に勝手にログインされる」などが話題となっています。

話題となる出来事自体は昨日発生したようなのですが、現在確認したところ、運営側が対策を行い、どうやら状況が変わってきているようなので、この点について気になった人向けの情報を紹介します。

「勝手にTwitterのプロフィールが書き換えられる」問題について

現在特に注目されているのは、ラブレターに登録すると、勝手にTwitterのプロフィールの「ウェブサイト（URL）」の部分がラブレターのURLに書き換わってた、というものです。これを指して、「勝手なプロフィール書き換え」→「Twitterが乗っ取られる・乗っ取られた」と感じる場合があるようです。

運営側が言及

これについて、「ラブレター」の運営側は、「ラブレター」のトップページ（ログイン前）にある「よくある質問」にて、以下のように説明しています。

プロフィールのURL設定について
登録後の画面にも説明ありますが、「ラブレター受け取りURLを設定」をするとプロフィールにURLが表示されラブレターが届きやすくなります。
一時バグって「設定しない」にしても設定されてしまっていましたが修正しましたので安心してね♫ （引用元）

このよくある質問の内容によると、もともとある、「プロフィールを書き換える機能（ラブレター受け取りURLを設定）」が誤って発動してしまう不具合が一時的に発生し、その結果「勝手にプロフィールを書き換えられた」となってしまっていた、と思われます。

現在は修正済みのようです。今回一度登録した際も、特にプロフィールの書き換えは発生しませんでした（発生する場合・しない場合がある可能性は残る）。

追記：現在も初期設定時にプロフィールが書き換えられてしまうユーザーが多発中？

不具合の修正が行われ、現在は最初の設定で「今回は設定しない」を選択すれば、ちゃんとURLが設定されないようになっています。

しかし、現在も大きく目立つ「ラブレター受け取りURLを設定」ボタンを無意識のうちに（？）押してしまい、「勝手に書き換えられた！」となるユーザーが多数発生してしまっているようです。

画面画像付きの詳細：「ラブレターにログインしたらTwitterのプロフが勝手に書き換えられた」の原因と変更を回避する設定方法（2017年12月27日時点）

どうして「プロフィールを更新する」の権限があるの？

そもそもTwitter連携する際に表示される「プロフィールを更新する」の権限なんて必要ないのでは？と思うかもしれません。

これに関して、まず「ラブレター」の場合は、元からプロフィールの「ウェブサイト」にラブレターの募集URL（マイページURL）を設定する機能があるため、自然と必要になる権限です。

また、例えそのような機能が存在しなかったとしても、「Twitterに投稿（＝書き込み）」という機能を提供しようとすると、大ざっぱに「書き込み」という権限を要求することしかできず、結果として同じ書き込みの一例である「プロフィールを更新する」の権限まで要求することになってしまいます。このTwitterの権限設定の仕組み上、自然と必要になってしまいます。

「他人のラブレターにログインできてしまう」問題

もう一つの話題として、「ほかの人のラブレターにログインできてしまう」という問題があります。

これについては運営側のよくある質問にもはっきりとは書かれていない状況（「ログインバグる」がこれに相当？）で、「自分が実際に遭遇した」という話より「遭遇した人がいるらしい」という話が先行しており、実際にどのような挙動になる不具合が発生したのか、具体的な部分がなかなか分からないのですが、どうやら少なくとも、次のツイートのような、ログイン中のアカウントを示す右上のアイコンが知らないユーザーのアイコンになってしまう問題が発生していたようです（これだけであれば、アイコン画像がユーザーをまたいでキャッシュされてしまっていて...といった不具合の原因が考えられる）。

あのね、流行ってるラブレターあるじゃないですか？
なんか勝手に違う人のやつにログインしてるんですけど…
ログインしてるから中ももちろん覗けちゃうし…

怖いのでログアウトします… pic.twitter.com/OL5i43wLO8
— ぴり子@PV企画固ツイ見てね (@trki_prc) 2017年12月24日

また、この問題への言及に対して、ラブレター公式Twitterアカウントは以下の通りツイートしています：

そうなんですか。
その時間なら完全対応済みで、違うユーザーにログインすることは絶対にありません。

ご不快な思いをさせて大変申し訳ございませんでした。
また貴重なご意見ありがとうございます。
大変勉強になりました。
— love-letter (@love_letter_c) 2017年12月26日

「裏返せばある時点以前には、違うユーザーにログインしてしまうことがあった」とも読めそうです。

いずれにしても症状がはっきりしない状況ですが、今ちょうどラブレターを使おうか迷っている、現在利用している、という場合は、ラブレターを今後利用するにあたって、参考にしてください（「現在は直っていたとしても、そういう不具合があったのだとしたらまた起こりそうだから不安だなぁ」や「サービス開始直後はそういう不具合があってもしょうがないかな、今は直っているならいいかな」等）。

利用規約やプライバシーポリシーはどこ？運営者情報はどこ？

利用規約やプライバシーポリシーのリンクは、Twitter連携の画面にあります。しかし現在、どちらのリンク先も同じ「プライバシーポリシー」となっています（詳細）。

また、運営者情報は、ログイン後（Twitter連携後）の設定画面で確認することができます。ラブレター公式Twitterアカウントはこちらです：@love_letter_c

※プライバシーポリシーも運営者情報も、別途探そうとしない場合、利用を開始しようとしたり、利用を実際に開始しないと表示されないため、このあたりの問題を指摘する声もあります。

退会・連係解除の方法について

「ラブレター」から「ログアウト／退会／Twitter連係解除」する方法

コメント（0）

新しいコメントを投稿

<< NEW 『「ラブレターにログインしたらTwitterのプロフが勝手に書き換えられた」の原因と変更を回避する設定方法（2017年12月27日時点）』
｜HOME｜
『Twitterで話題の匿名ラブレター募集サービス「ラブレター」の使い方（新規アカウント登録・送信・返信・共有方法など／iPhone・Android共通）』 OLD >>

カテゴリナビ
- アプリ (2,232)
- その他のカテゴリ...
著者紹介

「情報科学屋さんを目指す人のメモ」 http://t.co/KJ1c8Z9kR3
— did2 (@did2memo) 2014, 5月 19

ブログが趣味で、スマホアプリの利用中に発生するトラブルや不具合の対策手順や障害情報、設定の変更方法などについて、解説記事をよく書いています。

自分が困ったことをブログに書けば、次に困る人の参考になって、みんながみんな同じ苦労をせずに済む、というのが原点です。

最近の関心は、スマホやパソコンが苦手な人の行動や思考、そしてそんな人を手助けする方法です。

Amazonのアソシエイトとして、did2は適格販売により収入を得ています。

RSS | Facebook | Twitter | About

「ラブレターに登録すると乗っ取られるって本当？」について（プロフィールの書き換え問題・他人のアカウントにログイン問題）