アカウント名:
パスワード:
規模的にはエクスコムグローバルが10万件超と酷い事案だけど騒ぎになった場所の違いで騒ぎとしては今回の方が大きいですね
ちなみにエクスコムはレンタル機器の返却時に精算が出た場合の手間を省くために申し込み時に記入したセキュリティコードを保持していたという言い分でしたが2年前の利用者まで流出してましたから消さないといけないデータという認識すらなかったようです
今回も自動更新の決済のためのシステム構築で手抜きしてセキュリティコードを保存したんでしょうこれはクレジットカード協会の方針に明確に違反しているので流出被害にあった方はこの事件が原因だと申告して確認してもらえばカード再発行費用と不正利用被害の保証は無料になると思います
さらに同じくセキュリティコードが漏れた→JINSのオンラインショップに不正アクセス [srad.jp]
# なんでセキュリティコードを加盟店側が持ってるの?
JINSに関してはリンク先の/.Jの記事にあるように、セキュリティコードを店舗側が保存していたためではなく
クレジットカード情報入力用のフォームが改ざんされており、入力内容が外部に送信される状態になっていた
ためです。
先日のトレンドマイクロのセミナーでは「(世界でどうかは未確認だけど、少なくても日本では)初めてのケース」と言ってました。
個人でも簡単に情報が閲覧できるほどの事例って、過去にあったのかな?
「SQLインジェクションで個人情報ぶっこぬき」というのはかつてありましたよ。※WinMXでその手の情報がもらえるぞ!っていうのが情報セキュリティを考えるようになったきっかけ
以前にもあったんですね。今思うと、WinMXの頃のネットはまだ牧歌的な時代だったんだなーと思います。
牧歌的でしたねぇ。
WinMXの初期の頃って、うちはまだテレホーダイでした。夜11時から朝8時までopennnap鯖でチャットしながら、100MB程度のファイルを1晩か2晩かけて交換するとかいう。
# ごちゃごちゃ言われそうなのでACで。
補足ありがとうございます。JINS の件はいわば本家でフィッシングってケースなんですね。
これに関しては、自分がユーザの立場だったら気づけたかどうか気になるんですよね。セキュリティコードを店舗側で入力させるのがまず変という意識はあるけど、改ざんはどんな具合だったんだろうか、と。
かといって、各クレカ会社も自分のドメインじゃなく金融系データセンターのドメインを使っていたりするので、SSL証明書の内容とドメインのみではなく、URL全体でこの金融機関であってるの?みたいに一度ググってみたりするのですが、何かこう、上手い確認方法はないものですかね。
自動更新するためにもってる?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
関連記事 (スコア:5, 参考になる)
Re:関連記事 (スコア:5, 参考になる)
規模的にはエクスコムグローバルが10万件超と酷い事案だけど
騒ぎになった場所の違いで騒ぎとしては今回の方が大きいですね
ちなみにエクスコムはレンタル機器の返却時に精算が出た場合の手間を省くために
申し込み時に記入したセキュリティコードを保持していたという言い分でしたが
2年前の利用者まで流出してましたから消さないといけないデータという認識すらなかったようです
今回も自動更新の決済のためのシステム構築で手抜きしてセキュリティコードを保存したんでしょう
これはクレジットカード協会の方針に明確に違反しているので
流出被害にあった方はこの事件が原因だと申告して確認してもらえば
カード再発行費用と不正利用被害の保証は無料になると思います
Re:関連記事 (スコア:3, 参考になる)
さらに同じくセキュリティコードが漏れた→JINSのオンラインショップに不正アクセス [srad.jp]
# なんでセキュリティコードを加盟店側が持ってるの?
Re:関連記事 (スコア:5, 参考になる)
JINSに関してはリンク先の/.Jの記事にあるように、セキュリティコードを店舗側が保存していたためではなく
ためです。
Re:関連記事 (スコア:2, 参考になる)
先日のトレンドマイクロのセミナーでは「(世界でどうかは未確認だけど、少なくても日本では)初めてのケース」と言ってました。
Re: (スコア:0)
個人でも簡単に情報が閲覧できるほどの事例って、過去にあったのかな?
Re: (スコア:0)
「SQLインジェクションで個人情報ぶっこぬき」というのはかつてありましたよ。
※WinMXでその手の情報がもらえるぞ!っていうのが情報セキュリティを考えるようになったきっかけ
Re: (スコア:0)
以前にもあったんですね。
今思うと、WinMXの頃のネットはまだ牧歌的な時代だったんだなーと思います。
Re: (スコア:0)
牧歌的でしたねぇ。
WinMXの初期の頃って、うちはまだテレホーダイでした。
夜11時から朝8時までopennnap鯖でチャットしながら、100MB程度のファイルを1晩か2晩かけて交換するとかいう。
# ごちゃごちゃ言われそうなのでACで。
Re: (スコア:0)
補足ありがとうございます。
JINS の件はいわば本家でフィッシングってケースなんですね。
Re: (スコア:0)
これに関しては、自分がユーザの立場だったら気づけたかどうか気になるんですよね。
セキュリティコードを店舗側で入力させるのがまず変という意識はあるけど、改ざんは
どんな具合だったんだろうか、と。
かといって、各クレカ会社も自分のドメインじゃなく金融系データセンターのドメインを
使っていたりするので、SSL証明書の内容とドメインのみではなく、URL全体でこの
金融機関であってるの?みたいに一度ググってみたりするのですが、何かこう、上手い
確認方法はないものですかね。
Re: (スコア:0)
自動更新するためにもってる?