アカウント名:
パスワード:
同じ電話番号のデータを上書きしてしまうらしい。
https://twitter.com/juntan_xxx/status/917898413462585344 [twitter.com]この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。
ユニークキーの問題ではない。>名前、生年月日、電話番号、勤務先この4つが一致していて別人として扱えというのもおかしな話。
そりゃ現実には限りなくゼロに近いけど、悪用される想定がすっぱり抜け落ちてたということですね。
先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だったその際に2年前に転職&引っ越しした時の処理をしてなかったことがわかって、そのまま電話にて更新昨日カードが届きました
電話応対で住所、携帯電話番号、勤務先、年収まで変更できるって凄いよねぇぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった変更した事実を登録済みのメアドあてに教えてくれてもいいんじゃね?と思ったが、キャリアも変えたのでケータイメアド宛に送られても届かないんだよね
>先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった
日本生まれではない人なら干支を知らない可能性ありそう。両親が日本人でカナダで生まれ育って成人後日本で働いていた知人は自分の干支を知らなかった。
>ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった
まさに、ソーシャルエンジニアリングの弱点がこういうのだよね。ApplePayにクレカを追加する際の本人認証も同じようにザルだから不正利用が増えちゃってるわけで。
その4つを知っている人が別人である可能性はないってことですか?
別人としてカード発行するのがおかしいという話。今回の件でもそこはちゃんと名寄せされカード発行はされなかった。
別人がカード発行を申請できるのがおかしいというならパスワードに相当する「本人しか知り得ない何か」が必要になる。しかしID自体は新規作成なのでそのパスワードは使えない。
名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断とかできるのだろうが、そうではなかったのだろう。
つーことでとれる対策としては・名寄せが瞬時にできるようにする・(それが無理な場合とかそれでも瞬時の名寄せに失敗し後の審査でわかった場合)住所変更をカード審査に落ちた段階で元に戻すとか、そもそも新カードの申し込み処理で旧カードの住所変更をしないとか。になるのではないか。
名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断とかできるのだろうが
それはそれで駄目ですね。
そのやり方を繰り返せば、電話番号勤め先等の情報があれば誰が楽天カードを持ってるか調べあげることが出来てしまいます。
(#3294684)>複数持てるようになっていてもおかしくは無いと思う。
そうであるならば、(かつ、名寄せが瞬時にできるなら)>「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断ではなく、・旧IDのパスワードを聞くという手が使えますね。
ちょっとまて。これってば、被害者側がすでにカードもってたから加害者は(住所変更には成功しても)カード入手できなかったが。
被害者が持ってないカードを加害者が申請したら?ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら本人確認ってどうやる?「あなたはカードを申し込みましたか」って電話で確認するとしても、新規なら電話番号も加害者側の捨てケータイとかでも良さそう。
そのへんちゃんと審査してるんだよな?
被害者が持ってないカードを加害者が申請したら?ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら本人確認ってどうやる?
最終的にはカードを本人に届くかどうかでしょうね。本人限定受取郵便で本人確認をするのが基本では?(なんとなくしてないようにも思うけど)
楽天カードって受け取る時に免許証を提示するだけで本人確認は終わりだし。実質的に本人確認が機能してない。
運転免許証なら良いのでは。公的機関が発行した顔写真つき身分証明書だし。顔写真ないやつ(健康保険証とか)でもOKだとちとアレか?
普通は本人確認書類くらいは送るでしょ。ほんでカードも、簡易化書留くらいでその住所あてに送ってくる。
それを受け取った何者かが自由にその家に入れるなら、カードでもなんでも盗り放題なので、それ以上のセキュリティ対策は意味ないだろう。
この手の詐欺って空き家とか電話代行業の事務所とか使うパターンが定番っぽいので、(申し込みがWebだけで完了する場合は特に)簡易書留くらいじゃダメなのでは。ハンコかサインひとつで受け取れてしまう。身分証明書を要求する「本人限定受取」の郵便物とか宅配便とか使うのがフツーでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
キーが電話番号 (スコア:4, 参考になる)
同じ電話番号のデータを上書きしてしまうらしい。
https://twitter.com/juntan_xxx/status/917898413462585344 [twitter.com]
この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。
Re:キーが電話番号 (スコア:0)
ユニークキーの問題ではない。
>名前、生年月日、電話番号、勤務先
この4つが一致していて別人として扱えというのもおかしな話。
Re: (スコア:0)
そりゃ現実には限りなくゼロに近いけど、悪用される想定がすっぱり抜け落ちてたということですね。
Re: (スコア:0)
先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった
その際に2年前に転職&引っ越しした時の処理をしてなかったことがわかって、そのまま電話にて更新
昨日カードが届きました
電話応対で住所、携帯電話番号、勤務先、年収まで変更できるって凄いよねぇ
ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった
変更した事実を登録済みのメアドあてに教えてくれてもいいんじゃね?と思ったが、キャリアも変えたのでケータイメアド宛に送られても届かないんだよね
Re:キーが電話番号 (スコア:1)
>先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった
日本生まれではない人なら干支を知らない可能性ありそう。
両親が日本人でカナダで生まれ育って成人後日本で働いていた知人は自分の干支を知らなかった。
Re: (スコア:0)
>ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった
まさに、ソーシャルエンジニアリングの弱点がこういうのだよね。
ApplePayにクレカを追加する際の本人認証も同じようにザルだから不正利用が増えちゃってるわけで。
Re: (スコア:0)
ユニークキーの問題ではない。
>名前、生年月日、電話番号、勤務先
この4つが一致していて別人として扱えというのもおかしな話。
その4つを知っている人が別人である可能性はないってことですか?
Re: (スコア:0)
別人としてカード発行するのがおかしいという話。
今回の件でもそこはちゃんと名寄せされカード発行はされなかった。
別人がカード発行を申請できるのがおかしいというなら
パスワードに相当する「本人しか知り得ない何か」が必要になる。
しかしID自体は新規作成なのでそのパスワードは使えない。
名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
というメッセージ出して処理中断とかできるのだろうが、そうではなかったのだろう。
つーことでとれる対策としては
・名寄せが瞬時にできるようにする
・(それが無理な場合とかそれでも瞬時の名寄せに失敗し後の審査でわかった場合)住所変更をカード審査に落ちた段階で元に戻すとか、そもそも新カードの申し込み処理で旧カードの住所変更をしないとか。
になるのではないか。
Re:キーが電話番号 (スコア:2)
それはそれで駄目ですね。
そのやり方を繰り返せば、電話番号勤め先等の情報があれば
誰が楽天カードを持ってるか調べあげることが出来てしまいます。
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
(#3294684)
>複数持てるようになっていてもおかしくは無いと思う。
そうであるならば、(かつ、名寄せが瞬時にできるなら)
>「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断
ではなく、
・旧IDのパスワードを聞く
という手が使えますね。
Re: (スコア:0)
ちょっとまて。これってば、被害者側がすでにカードもってたから加害者は
(住所変更には成功しても)カード入手できなかったが。
被害者が持ってないカードを加害者が申請したら?
ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
本人確認ってどうやる?
「あなたはカードを申し込みましたか」って電話で確認するとしても、
新規なら電話番号も加害者側の捨てケータイとかでも良さそう。
そのへんちゃんと審査してるんだよな?
Re:キーが電話番号 (スコア:2)
被害者が持ってないカードを加害者が申請したら?
ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
本人確認ってどうやる?
最終的にはカードを本人に届くかどうかでしょうね。
本人限定受取郵便で本人確認をするのが基本では?
(なんとなくしてないようにも思うけど)
Re: (スコア:0)
楽天カードって受け取る時に免許証を提示するだけで本人確認は終わりだし。
実質的に本人確認が機能してない。
Re: (スコア:0)
運転免許証なら良いのでは。公的機関が発行した顔写真つき身分証明書だし。
顔写真ないやつ(健康保険証とか)でもOKだとちとアレか?
Re: (スコア:0)
普通は本人確認書類くらいは送るでしょ。
ほんでカードも、簡易化書留くらいでその住所あてに送ってくる。
それを受け取った何者かが自由にその家に入れるなら、カードでもなんでも
盗り放題なので、それ以上のセキュリティ対策は意味ないだろう。
Re: (スコア:0)
この手の詐欺って空き家とか電話代行業の事務所とか使うパターンが定番っぽいので、
(申し込みがWebだけで完了する場合は特に)簡易書留くらいじゃダメなのでは。
ハンコかサインひとつで受け取れてしまう。
身分証明書を要求する「本人限定受取」の郵便物とか宅配便とか使うのがフツーでは。