アカウント名:
パスワード:
もちろん、Appleの本人確認も大問題だが、Amazonにも問題あるだろ、これ。
どっちかというと、Amazonアカウントが乗っ取られて、そこに登録した個人情報が漏れたのが問題だよね。犯人が追加した以外のクレカも使い放題じゃないの?クレカ会社は盗難として処理してくれるだろうか?Amazonの方が怖いわ。
ってゆーか、この手法では犯人側がクレジットカードとか、本人の情報を残しちゃってますよね。そっちから足がつけばアウトという気が…。
で、教訓としては、端末のデータを失っても泣かないように「データはバックアップサーバにちゃんと残しておきましょう」ということ?
いまならVプリカとかあるよ。
クレジットカード番号は盗んだり生成したりしたものかもしれないぞ…
原文を読むと、Wiredが同じ方法で(検証のため)試して成功したとあり、その際はWebサービスでクレジットカード番号を自動生成したとありますね。
日本の amazon は知らんが、アメリカのアマゾンは、登録してあるクレジットカードで、新しい住所に送るときは、番号の再入力が必要だから、まぁそういう被害は起こりにくい。はず。
この事例だと住所は変えてないので(メールアドレスのみ変更)、乗っ取った後で攻撃者自身のクレジットカード情報でなく標的のクレジットカード情報(既に登録されている)を使って、勝手に注文して標的に送りつけたりとかできませんか?
Amazon.co.jpでも再入力を求められますね。
>犯人が追加した以外のクレカも使い放題じゃないの?>クレカ会社は盗難として処理してくれるだろうか?>Amazonの方が怖いわ。
それはない。今確認してみた。アカウント管理画面に入れても、カード番号は下四桁だけしか見れない。
ただし、Appleのサポートが本人確認で使うのが、この四桁だけで十分な脆弱なものであっただけ。
#2208062 [srad.jp]のコメントのように、相手のカードで買いまくって相手の登録済みの住所(標的とか、その知人とか)に送りつけるって嫌がらせは可能かもな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
前段階でAmazonアカウントが…… (スコア:4, すばらしい洞察)
もちろん、Appleの本人確認も大問題だが、
Amazonにも問題あるだろ、これ。
Re:前段階でAmazonアカウントが…… (スコア:4, 興味深い)
どっちかというと、Amazonアカウントが乗っ取られて、そこに登録した個人情報が漏れたのが問題だよね。
犯人が追加した以外のクレカも使い放題じゃないの?
クレカ会社は盗難として処理してくれるだろうか?
Amazonの方が怖いわ。
Re: (スコア:0)
ってゆーか、この手法では犯人側がクレジットカードとか、本人の情報を残しちゃってますよね。そっちから足がつけばアウトという気が…。
で、教訓としては、端末のデータを失っても泣かないように「データはバックアップサーバにちゃんと残しておきましょう」ということ?
Re:前段階でAmazonアカウントが…… (スコア:1)
いまならVプリカとかあるよ。
Re: (スコア:0)
クレジットカード番号は盗んだり生成したりしたものかもしれないぞ…
Re:前段階でAmazonアカウントが…… (スコア:1)
原文を読むと、Wiredが同じ方法で(検証のため)試して成功したとあり、その際はWebサービスでクレジットカード番号を自動生成したとありますね。
Re: (スコア:0)
日本の amazon は知らんが、アメリカのアマゾンは、登録してあるクレジットカードで、新しい住所に送るときは、番号の再入力が必要だから、まぁそういう被害は起こりにくい。はず。
Re:前段階でAmazonアカウントが…… (スコア:1)
この事例だと住所は変えてないので(メールアドレスのみ変更)、
乗っ取った後で攻撃者自身のクレジットカード情報でなく
標的のクレジットカード情報(既に登録されている)を使って、
勝手に注文して標的に送りつけたりとかできませんか?
Re:前段階でAmazonアカウントが…… (スコア:1)
あとは、Amazonが二段階認証に対応してなければ(Amazon.co.jpはやってない)使えるのでは。
Re: (スコア:0)
Amazon.co.jpでも再入力を求められますね。
Re: (スコア:0)
>犯人が追加した以外のクレカも使い放題じゃないの?
>クレカ会社は盗難として処理してくれるだろうか?
>Amazonの方が怖いわ。
それはない。今確認してみた。
アカウント管理画面に入れても、カード番号は下四桁だけしか見れない。
ただし、Appleのサポートが本人確認で使うのが、この四桁だけで十分な脆弱なものであっただけ。
Re: (スコア:0)
#2208062 [srad.jp]のコメントのように、相手のカードで買いまくって相手の登録済みの住所(標的とか、その知人とか)に送りつけるって嫌がらせは可能かもな。