パスワードを忘れた? アカウント作成

楽天カードで住所などを第三者が勝手に変更できる問題が見つかる」記事へのコメント

  • 同じ電話番号のデータを上書きしてしまうらしい。

    https://twitter.com/juntan_xxx/status/917898413462585344 [twitter.com]
    この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。

    • by Anonymous Coward

      ユニークキーの問題ではない。
      >名前、生年月日、電話番号、勤務先
      この4つが一致していて別人として扱えというのもおかしな話。

      • by Anonymous Coward on 2017年10月12日 17時41分 (#3294669)

        ユニークキーの問題ではない。
        >名前、生年月日、電話番号、勤務先
        この4つが一致していて別人として扱えというのもおかしな話。

        その4つを知っている人が別人である可能性はないってことですか?

        • by Anonymous Coward

          別人としてカード発行するのがおかしいという話。
          今回の件でもそこはちゃんと名寄せされカード発行はされなかった。

          別人がカード発行を申請できるのがおかしいというなら
          パスワードに相当する「本人しか知り得ない何か」が必要になる。
          しかしID自体は新規作成なのでそのパスワードは使えない。

          名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
          というメッセージ出して処理中断とかできるのだろうが、そうではなかったのだろう。

          つーことでとれる対策としては
          ・名寄せが瞬時にできるようにする
          ・(それが無理な場合とかそれでも瞬時の名寄せに失敗し後の審査でわかった場合)住所変更をカード審査に落ちた段階で元に戻すとか、そもそも新カードの申し込み処理で旧カードの住所変更をしないとか。
          になるのではないか。

          • 名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
            というメッセージ出して処理中断とかできるのだろうが

            それはそれで駄目ですね。

            そのやり方を繰り返せば、電話番号勤め先等の情報があれば
            誰が楽天カードを持ってるか調べあげることが出来てしまいます。

            --
            --------------------
            /* SHADOWFIRE */
          • by Anonymous Coward

            (#3294684)
            >複数持てるようになっていてもおかしくは無いと思う。

            そうであるならば、(かつ、名寄せが瞬時にできるなら)
            >「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断
            ではなく、
            ・旧IDのパスワードを聞く
            という手が使えますね。

        • by Anonymous Coward

          ちょっとまて。これってば、被害者側がすでにカードもってたから加害者は
          (住所変更には成功しても)カード入手できなかったが。

          被害者が持ってないカードを加害者が申請したら?
          ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
          本人確認ってどうやる?
          「あなたはカードを申し込みましたか」って電話で確認するとしても、
          新規なら電話番号も加害者側の捨てケータイとかでも良さそう。

          そのへんちゃんと審査してるんだよな?

          • by ymasa (31598) on 2017年10月12日 20時51分 (#3294834) 日記

            被害者が持ってないカードを加害者が申請したら?
            ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
            本人確認ってどうやる?

            最終的にはカードを本人に届くかどうかでしょうね。
            本人限定受取郵便で本人確認をするのが基本では?
            (なんとなくしてないようにも思うけど)

          • by Anonymous Coward

            楽天カードって受け取る時に免許証を提示するだけで本人確認は終わりだし。
            実質的に本人確認が機能してない。

            • by Anonymous Coward

              運転免許証なら良いのでは。公的機関が発行した顔写真つき身分証明書だし。
              顔写真ないやつ(健康保険証とか)でもOKだとちとアレか?

          • by Anonymous Coward

            普通は本人確認書類くらいは送るでしょ。
            ほんでカードも、簡易化書留くらいでその住所あてに送ってくる。

            それを受け取った何者かが自由にその家に入れるなら、カードでもなんでも
            盗り放題なので、それ以上のセキュリティ対策は意味ないだろう。

            • by Anonymous Coward

              この手の詐欺って空き家とか電話代行業の事務所とか使うパターンが定番っぽいので、
              (申し込みがWebだけで完了する場合は特に)簡易書留くらいじゃダメなのでは。
              ハンコかサインひとつで受け取れてしまう。
              身分証明書を要求する「本人限定受取」の郵便物とか宅配便とか使うのがフツーでは。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...