アカウント名:
パスワード:
被害者に何時何分にどのIPから何を購入したかを開示できればいいのにお互い犯人または原因をみつけたいだろうにな
過去にこういうのありましたね。PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 [impress.co.jp]修正したつもりだったのに実はまだ弱点が残っていたとかもありえますね
ログインしなければウォレットチャージが出来ない筈なのに購入時の認証を突破できず、チャージのみで諦めているケースが見られるならば当然考えられる可能性の1つでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
無理やりログイン状態に持っていける? (スコア:0)
つまり、パスワードは分からないが、別のPCなりPS3なりで無理やりログイン状態に持っていける、ということなのかな?
Re:無理やりログイン状態に持っていける? (スコア:1)
ちょっと前にPSPを初期化しないで売ったらクレカやらも含めてユーザ情報が残ってたので
ソフト買われ放題になっちゃったなんて話があったから、その類かと思うんですけどねぇ。
Re: (スコア:0)
1click購入(見たいな買い方)ができるとなんで無理矢理ログイン状態にできるんだよ。
Re:無理やりログイン状態に持っていける? (スコア:5, 興味深い)
(1) ウォレットにクレジットカードからチャージする
(2) ウォレットにチャージされた分を使ってコンテンツを買う
(1)はPSNに、クレジットカード情報が登録されているアカウントでログインすれば、パスワードの入力無しに可能。 (2)の段階で改めてパスワードの入力を求めてくるか否かはユーザの設定次第。
「(2)の段階で改めてパスワードの入力を求める」に設定していた被害者の方は、上限の20000円分までチャージされていたが何も買われていなかった。 そうじゃない被害者の方々は、7~8万円分ぐらい、チャージされた上、コンテンツが購入されていた、など。
主張を信じるなら、「攻撃者はパスワードを割り出すことはできないが、被害者アカウントでPSNにログインできる」という攻撃方法が確立された、という推察になります。
# ほんとはパスワードも割り出せてるけど、捜査攪乱のため割り出せてないふりをしている、とか言い出すときりが無いので略
運営者なら、ログをチェックして、ユーザの正常な利用と、ユーザが不正にやられたと主張するチャージ・購入操作のリクエスト元のIPアドレスを比べるとか主張の真偽をもうちょっと詳しく調べられるでしょう。安心して使えるかどうかの判断のためにも、続報に期待したいです。
Re: (スコア:0)
被害者に何時何分にどのIPから何を購入したかを開示できればいいのに
お互い犯人または原因をみつけたいだろうにな
Re: (スコア:0)
過去にこういうのありましたね。PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 [impress.co.jp]
修正したつもりだったのに実はまだ弱点が残っていたとかもありえますね
Re: (スコア:0)
「無理矢理ログイン状態にできる」から、「1click購入」でパスワード知らなくても買えてしまう。
って事かと。
Re: (スコア:0)
ログインしなければウォレットチャージが出来ない筈なのに
購入時の認証を突破できず、チャージのみで諦めているケースが見られるならば
当然考えられる可能性の1つでは?