スポンサーリンク
Contents
PayPay、クレジットカード登録画面に脆弱性か セキュリティコードが総当たりで特定可能な危険性
http://asahi.5ch.net/test/read.cgi/newsplus/1545010631/
PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も
(略)
こうした不正利用の背景についてSNSでは、「クレジットカードの追加」の方法に問題があるとの指摘が上がっています。あるユーザーはクレジットカードの「セキュリティコード」を複数回間違えてもロックがかからなかったと報告。総当たりでセキュリティコードを探れる危険性があるとしています。編集部でも実際に試してみたところ、カード番号と有効期限を入れてから、セキュリティコードを10回ほど間違えても特にロックはかかりませんでした。
セキュリティコードを間違えまくってもロックはかからず(PayPayアプリ画面より)
https://image.itmedia.co.jp/nl/articles/1812/16/kikka_181216paypay003.jpg
(全文はソース)
http://nlab.itmedia.co.jp/nl/spv/1812/16/news020.html
paypay
paypay
>>1
>複数回間違えてもロックがかからなかった
paypayのセキュリティコード記入枠などは単に記入枠(そして記憶しておいてくれるだけ)のものでは?
本物か否かを確認しようとすれば、クレジット会社に情報を投げて答えを貰う必要が有る。
そうすると情報がpaypayサイトを通過するので本当に情報漏洩の可能性がでてくる。
クレカ会社もそんな情報は出さないと思う。
なのでpaypayでは単に枠だけであり、何でも入力・記憶できるのではないか?
買い物時にその情報がカード会社へ飛んで整合が問われるのでしょう。
3万円以上は本人確認であり、それ以下は「捨て金」の可能性。(ただし次回からダメ)
損害を被るのは誰か?は禿・クレカ会社・保険会社の間で話が付いているかも
禿は既に16兆円の借金を抱えているので怖いもの無しかも。
最低限のセキュリティレベルを、法律で決めた方が良いのだろうか
改正割賦販売法でカード番号を保持するサイトにはPCIDSS準拠が要求されている
ただし違反しても法的な罰則規定はない様子
そうですね、はい。
とか言ってたぞ。嘘吐きめ。
そんなんで騙されるやつは何しても騙されるわな
>>2
そのテレビ番組は肝心のところに触れていないらしいね
PayPayはセキュリティコードは何回でも入れ直しが効いて
赤の他人のクレカが登録可能なシステムだってこと
paypayが出来るって事は他の加盟店でもやれば出来るって事だろ
クレカ会社がpaypayがなんらかの優遇でも図っていない限りは
【早い者勝ち!】.com/.net/.jp ドメイン取るならお名前.com
他で発生していないってことは
最低限のブルートフォースには対応しているって事だ
その最低限すらやっていないpaypayが犯罪組織ってこと
>>2
なーんだ!ソフトバンクは悪くなかったんだね!
という流れにしたかったんだな
ここでもそういう流れにしようとしてるやついるよな
犯罪幇助になりかねないもの提供しといて文句つけるなかとかアホじゃないかと
まあクレカ自体で起き得るけど
paypayはさらに起きやすい環境を作ってる
>>2
オレオレ詐欺の報道もそのくらい簡潔でおk
にしたら苦情殺到ものだ
ちゃんと出てきて土下座しろよ
関係大有りだろ
流出したクレカ番号を使って、コード総当たりで登録するんだから
>>70
セキュリティコードは関係してないじゃん。総当たりなんだから
問題はセキュリティコードを何度も確かめることができてしまうことが問題で、
保存されていないことによる安全性は担保されてる
原因が異なる。意味わかる?
被害を受けた人はクレカ会社に被害を報告しましょう
そして、カード番号の変更をしてもらいましょう
これの件数が増えれば、当然PayPayに対するカード会社の凍結&対応が行われます
※支払い停止もできます
流出させたけどな
本当ヒドい所有るよな。
お陰で朝一でカード止めたわ。
じゃあクレジットカード会社のセキュリティシステムはセキュリティコードの試行は何回でも認めるザルシステムになっていて
何回まで試行を認めるかの判断は加盟店に任せるというヤバイシステムになっている
それが問題ないと言っているんだね
有効期限とか誕生日とかいろいろあるやろ
>>12
そうそう
そんな脆弱性があるとは思えない、というのが俺の考えだ
万が一そんなのがあったら、
最初から悪意をもってECサーバを建てられる北朝鮮みたいな財力を持った連中が
セキュリティコードを盗み放題になってしまう
それも、全世界のクレジットカードのをな
そんな超次元級の脆弱性があったら、とっくに悪用されてる筈だと思うわ
そう実は俺もそう思っているんだが
今回の事件はクレジットカードのセキュリティ総当たりできるシステムが原因
そしてそれはpaypayだけが原因って謎理論がずっと蔓延してるのが不思議でw
加盟店がザルだったり不正する気満々なら事前にクレジット会社がどうこう出来ないのは昔からだが?
店がどう見ても男(LGBT的な話は抜きで)なのに山田花子名義のカードを通したらカード会社はその時点ではどうしようもないだろ?それと同じ。
他人のクレジットカードのセキュリティコードが!
1000回繰り返せば当たるし
>その身に覚えのないPayPayアカウントをどうやって判別するの?
>PayPayに総当たりさせるの?
身に覚えのない店で身に覚えのない買い物あったら明細に出てくるだろw
なにやる気の無いPayPay運営みたいな事言うなよw
だから、PayPayのどのアカウントでカードの不正利用をされたかどうやって判別するの?
PayPay本体なら出来るだろうけど、そんなのが簡単に出来たらそれこそセキュリティに問題がある
本来はカード会社に被害報告をし、カードを凍結してもらうのが先なんだよ
PayPayにクレーム入れても何の解決にもならん
>>23
だからユーザーが身に覚えがないアカウントでの不正利用見つけたのならPayPayに連絡すべきって言っているんだがw
http://asahi.5ch.net/test/read.cgi/newsplus/1544974699/993で
>身に覚えがないPayPayアカウント作られて勝手に使われた時もPayPayにアカウント停止要請すべきでは?
って場合の事を書いているんだが
今回はカード会社と店舗の間にPayPayが入っているんだよ、不具合あったらPayPayにも言うべきだろ
何で身に覚えがないアカウント作られた時もPayPayに連絡しちゃいけないの?
だから本質が分かってねーよ
今回の被害者は不正利用したアカウントのユーザーじゃねーだろ
PayPayアカウントの不正利用じゃねーんだよ
阿保か?
今回の被害者はあくまでもクレジットカードの不正利用の被害者なんだよ
どうしてわかんないの?
マジバカなの?
バカって言えば否定できると思ってるのかね
本質とか言いつつ論点ずらしてペイペイには責任ありませんって工作員ですか?
ビザマスもち全員危険に晒されてるのに何を偉そうに上から目線で語ってるんだよ
使ってないのに不安にさせられるとか酷い
セキュリティーコードって、カードの裏に書いてある数字だろ。
あれ、なんでカードの裏に書いてあるんだろな。
店で使う時、店員に渡して払うことがあればパスワードを渡しちゃうようなもんじゃんな。
カード会社が今時、あほなんだと思うよ。
裏に書かず、別にして発行せえよ。
段階があるだけだよ
クレカ番号の自動生成だけだとわからないもの→セキュリティコード
クレカのカードを手に入れてもわからないもの→3Dセキュア等
それにしたって、裏にセキュリティーコードを書いておく意味が分からない。
店でのショッピングで必要なのはカード番号とサインでしょ。
それこそ、カード情報を盗もうとする輩が店や店員に居たら、盗まれ、ネットで使われるかも。
費用対効果
まず、セキュリティコードがなければ番号だけで不正出来る、それの防止が裏に3桁載せるだけで激減する。
で、加盟店やその関係者が不正をするつもりならセキュリティーコード云々関係なく色々出来るからセキュリティコードだけ隠しても意味がない。
だから、カード会社はそうした不正には事後に迅速に対処する。
それとスレでペイペイ無視してクレカ海南な言ってるやつも
火消しがあからさますぎ
どう考えてもペイペイにも責任あるだろ
勝手にペイペイ登録されてクレカ使われるんだから本人確認ザルにしてるペイペイにも責任あるわ
まじで気持ちわるい会社
>>28
さすがにこれは登録したらもうすぐ使えちゃうし
買えちゃうし
ダメだろ
クレカ作るときみたいに、認証をしっかりやらんとね
見切り発車感は否めないな
>>28
PayPayにも責任はあるだろう
ただし、それはクレカ会社に対しての責任
クレカ会社とどういう契約か知らない人間が問うもんじゃない
クレカの被害はクレカ会社に被害を訴えるのが常識なんだって話だよ
話の本質分かってる?
話の本質を勝手に狭めてるやつになに言っても無駄ってことなら分かってるぞ
消費者の視点から考えればこれはペイペイにも責任ある
× クレカ海南な~
○ クレカ会社に言えって言ってるやつも
カード会社も大丈夫か?
札幌の爆発騒ぎどころじゃないぞ(笑)
こんなザルシステムならクレカ会社側がPayPayに損害賠償請求するんじゃね?
TBSが擁護したせいで
胡散臭さが増したじゃねえかw
まあLINEも力を入れてるから
QRコード決済、バーコード決済を
失速させたくないんだろうな。
韓国マスコミ軍はw
ウチの会社で盛り上がってたから
便乗してアプリだけインストールして500円ゲットしたが
ファミマ行く機会もないし
レジでPayPayでというのも恥ずかしいし
結局使わずじまいかな
クレジット登録してなくてよかったわ (^^;
キャッシュレスとかカッコいい響きがするが
得体の知れん不気味さもあるな
やっぱ現金が安心だわ www
いやVISAとか持ってる時点でアウトよ?
>>93
登録は消せないけどカード番号は消せる
ただしpaypayのDBから消えるとは到底考えられない
いずれ流出して使われる可能性大
そのクレカは再発行してもらうしか回避策はない
