headless 曰く、

2月29日から米国・サンフランシスコで開催されるRSA Conference USA 2016(RSAC 2016 )の参加登録ページで、登録者のTwitterアカウント情報を収集しているのではないかという疑惑が持ち上がり、OAuthで使用するためのものだとRSA Conferenceが反論している(CSO Online — Salted Hashの記事、 The Registerの記事、 RSA Conferenceのブログ記事)。

該当のページは参加登録完了後に表示され、RSAC 2016に誘う内容のツイートをするよう促す内容となっている。しかし、参加登録者からTwitterの認証情報を収集しているのではないかとの疑問が上がり、フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信されることがその後確認された。

これについてメディアではRSA ConferenceがOAuthを使用せず、登録者のTwitter認証情報を収集していると報じたことから、RSA Conferenceが反論。Twitterに承認されたAPIで認証を行っており、実際にOAuthを使用していると説明する一方で、これ以上の懸念を避けるためAPIの使用を中止するとの声明を出している。

セキュリティ専門家のJim Manico氏がSalted Hashに伝えたところによれば、TwitterのOAuth APIは多数の認証オプションがあり、RSA Conferenceが使用した認証情報を一時収集する方法もオプションの一つであるという。しかし、この方法は安全性が低く、疑惑も持たれやすい。そのため、実装はより難しくなるものの、認証情報を収集することなくRSA Conferenceがユーザーに代わってツイートできるオプションを選ぶべきだったとの見解をManico氏は示している。