アカウント名:
パスワード:
よくあるのはカード情報を初回登録するフォームを改竄されて、本来のサーバと同時に外部に送信させられるパターンで、だいたいCVVが漏洩したと発表されてよく分かってない人が暴れるのですが、決済会社側のプレスリリースだとCVVに言及がなく、顧客企業側では含められてますね。
とすると、何らかのWebページ改竄は確認されているものの、問題は社内インフラへの侵入とそこからの持ち出しなのかな。
いや、リリースの「① トークン方式クレジットカード決済情報データベース」のとこにはっきりと「セキュリティコード」と書かれてますぜ。バックドアも「削除完了を確認」と書かれているから、設置まで成功して実際に使われていたと考えると、全部のデータが見られていたとしてもおかしくないんじゃないかな。
oh. どうしてデータベースからの漏洩でセキュリティコードが漏れるのだ。
分かりやすい記事が出てた。
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く [itmedia.co.jp]
保存してるからだろ
以前物販サイトに関わった時に上流の会社の人に聞いたけど我々が思ってる以上にセキュリティコードを保存してるWebアプリは多いらしい。駄目なはずだけど当然のように保存してるって。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
CVV漏洩が確認されていない (スコア:2)
よくあるのはカード情報を初回登録するフォームを改竄されて、本来のサーバと同時に外部に送信させられるパターンで、だいたいCVVが漏洩したと発表されてよく分かってない人が暴れるのですが、決済会社側のプレスリリースだとCVVに言及がなく、顧客企業側では含められてますね。
とすると、何らかのWebページ改竄は確認されているものの、問題は社内インフラへの侵入とそこからの持ち出しなのかな。
Re: (スコア:0)
いや、リリースの「① トークン方式クレジットカード決済情報データベース」のとこにはっきりと「セキュリティコード」と書かれてますぜ。
バックドアも「削除完了を確認」と書かれているから、設置まで成功して実際に使われていたと考えると、全部のデータが見られていたとしてもおかしくないんじゃないかな。
Re:CVV漏洩が確認されていない (スコア:2)
oh. どうしてデータベースからの漏洩でセキュリティコードが漏れるのだ。
Re:CVV漏洩が確認されていない (スコア:1)
分かりやすい記事が出てた。
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く [itmedia.co.jp]
Re: (スコア:0)
保存してるからだろ
保存してるから (スコア:0)
以前物販サイトに関わった時に上流の会社の人に聞いたけど
我々が思ってる以上にセキュリティコードを保存してるWebアプリは多いらしい。
駄目なはずだけど当然のように保存してるって。