パスワードを忘れた? アカウント作成

楽天カードで住所などを第三者が勝手に変更できる問題が見つかる」記事へのコメント

  • キーが電話番号 (スコア:4, 参考になる)

    by ymasa (31598) on 2017年10月12日 15時47分 (#3294581) 日記

    同じ電話番号のデータを上書きしてしまうらしい。

    https://twitter.com/juntan_xxx/status/917898413462585344 [twitter.com]
    この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。

    ここに返信
    • by backyarD (36899) on 2017年10月12日 16時25分 (#3294603) 日記

      名寄せと同定のプロセスが弱いのもあるのですが、与信審査に通っていないにも
      かかわらず、自動的に同一者と思われるデータの住所をUpdateしてしまっている、
      ということでしょうか?

      どっちかっていうとそちらの方が怖いように思うのですが……。

      勘違いだったらごめんなさい。

      #ちなみに私の住所は無事でした ←楽天カードユーザー

      • by Anonymous Coward

        その通りみたいですね。

        カードは発行されてないのに
        同一人物とみられる人間のレコードを上書きしてしまってる。
        しかも本人確認もせずに。

    • by Anonymous Coward

      ユニークキーの問題ではない。
      >名前、生年月日、電話番号、勤務先
      この4つが一致していて別人として扱えというのもおかしな話。

      • by Anonymous Coward

        そりゃ現実には限りなくゼロに近いけど、悪用される想定がすっぱり抜け落ちてたということですね。

      • by Anonymous Coward

        先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった
        その際に2年前に転職&引っ越しした時の処理をしてなかったことがわかって、そのまま電話にて更新
        昨日カードが届きました

        電話応対で住所、携帯電話番号、勤務先、年収まで変更できるって凄いよねぇ
        ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった
        変更した事実を登録済みのメアドあてに教えてくれてもいいんじゃね?と思ったが、キャリアも変えたのでケータイメアド宛に送られても届かないんだよね

        • by nemui4 (20313) on 2017年10月13日 7時21分 (#3294984) 日記

          >先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった

          日本生まれではない人なら干支を知らない可能性ありそう。
          両親が日本人でカナダで生まれ育って成人後日本で働いていた知人は自分の干支を知らなかった。

        • by Anonymous Coward

          >ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった

          まさに、ソーシャルエンジニアリングの弱点がこういうのだよね。
          ApplePayにクレカを追加する際の本人認証も同じようにザルだから不正利用が増えちゃってるわけで。

      • by Anonymous Coward

        ユニークキーの問題ではない。
        >名前、生年月日、電話番号、勤務先
        この4つが一致していて別人として扱えというのもおかしな話。

        その4つを知っている人が別人である可能性はないってことですか?

        • by Anonymous Coward

          別人としてカード発行するのがおかしいという話。
          今回の件でもそこはちゃんと名寄せされカード発行はされなかった。

          別人がカード発行を申請できるのがおかしいというなら
          パスワードに相当する「本人しか知り得ない何か」が必要になる。
          しかしID自体は新規作成なのでそのパスワードは使えない。

          名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
          というメッセージ出して処理中断とかできるのだろうが、そうではなかったのだろう。

          つーことでとれる対策としては
          ・名寄せが瞬時にできるようにする
          ・(それが無理な場合とかそれでも瞬時の名寄せに失敗し後の審査でわかった場合)住所変更をカード審査に落ちた段階で元に戻すとか、そもそも新カードの申し込み処理で旧カードの住所変更をしないとか。
          になるのではないか。

          • 名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
            というメッセージ出して処理中断とかできるのだろうが

            それはそれで駄目ですね。

            そのやり方を繰り返せば、電話番号勤め先等の情報があれば
            誰が楽天カードを持ってるか調べあげることが出来てしまいます。

            --
            --------------------
            /* SHADOWFIRE */
          • by Anonymous Coward

            (#3294684)
            >複数持てるようになっていてもおかしくは無いと思う。

            そうであるならば、(かつ、名寄せが瞬時にできるなら)
            >「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断
            ではなく、
            ・旧IDのパスワードを聞く
            という手が使えますね。

        • by Anonymous Coward

          ちょっとまて。これってば、被害者側がすでにカードもってたから加害者は
          (住所変更には成功しても)カード入手できなかったが。

          被害者が持ってないカードを加害者が申請したら?
          ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
          本人確認ってどうやる?
          「あなたはカードを申し込みましたか」って電話で確認するとしても、
          新規なら電話番号も加害者側の捨てケータイとかでも良さそう。

          そのへんちゃんと審査してるんだよな?

          • by ymasa (31598) on 2017年10月12日 20時51分 (#3294834) 日記

            被害者が持ってないカードを加害者が申請したら?
            ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
            本人確認ってどうやる?

            最終的にはカードを本人に届くかどうかでしょうね。
            本人限定受取郵便で本人確認をするのが基本では?
            (なんとなくしてないようにも思うけど)

          • by Anonymous Coward

            楽天カードって受け取る時に免許証を提示するだけで本人確認は終わりだし。
            実質的に本人確認が機能してない。

            • by Anonymous Coward

              運転免許証なら良いのでは。公的機関が発行した顔写真つき身分証明書だし。
              顔写真ないやつ(健康保険証とか)でもOKだとちとアレか?

          • by Anonymous Coward

            普通は本人確認書類くらいは送るでしょ。
            ほんでカードも、簡易化書留くらいでその住所あてに送ってくる。

            それを受け取った何者かが自由にその家に入れるなら、カードでもなんでも
            盗り放題なので、それ以上のセキュリティ対策は意味ないだろう。

            • by Anonymous Coward

              この手の詐欺って空き家とか電話代行業の事務所とか使うパターンが定番っぽいので、
              (申し込みがWebだけで完了する場合は特に)簡易書留くらいじゃダメなのでは。
              ハンコかサインひとつで受け取れてしまう。
              身分証明書を要求する「本人限定受取」の郵便物とか宅配便とか使うのがフツーでは。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...