「ほしい物リスト」を作った覚えはなかったのですが、このニュースを聞いて会社から検索してみると、キッチリ引っかかってしまいました＿|￣|○。リストに載っていた商品に覚えは無くはないのですが、まさか公開されているとは思わず。
　ググれば色々見つかると思いますが、一応リンク。

• 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意？(セキュリティホールmemo)
  • CNETの元ネタ記事

　調べてみると、デフォルト公開は元々「仕様通り」だったようでした。*1こっちの脇が甘かった事も否めないのですが、そう考えると、今になってこんな祭り状態になるのかが逆に不思議。
　それから、

• Amazonのすごいアクセス解析サービス(ぼくはまちちゃん！(Hatena))

　はまちちゃん(さん)の指摘によると、CSRFが可能だそうです。「ほしい物リスト」の有無に関わらず、Amazonに登録している名前とメールアドレスが含まれるメールを任意のアドレスに送信できてしまうとのこと。回避方法はサインアウトすること。

自分のサイトにアクセスした人の本名とメールアドレスを、Amazonがどんどこメールで送ってきてくれるよ！
…(略)…
ログインした状態なら、リストの作成・公開に関係なく送信されるそうです！