アカウント名:
パスワード:
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
サーバー改竄がトレンドなのでカード情報流出と聞いたら基本全部漏れたと考えないといけない改竄検知はまだ主流じゃないんだろうよ
3Dセキュアだったら防げるかもしれないし、不正利用検知や補償で運用してるけど、本当はもう素のクレカ情報でネット決済する方式自体に問題が積みあがってる気がする。
数字という概念ならは離れるのは困難生体認証にしよう本人証明はマイナンバーカード紐付けで
ttps://onlinestore.tullys.co.jp/プレスリリースの使う必要ない場所でtinyurlとかわざわざ短縮URL使ってる会社はロクなITと広報社員しかいなさそう。
> ロクなITと広報社員しかいなさそう。それだと「まともな人材しかいない」という意味になるんだが
スラドはクズしかいなさそう
特に否定はせんけど、そこに自分が含まれる自覚はあるんだよなw
スラドのクズは2つに分けられる。頭の回るクズと、頭の回らないクズだ。
> 頭の回るクズと、頭の回らないクズだ。 後者しかいない。2つに分けるとしたら、自分は頭が回ると勘違いしているクズと、そうじゃないクズだ。
他人を見下したがるクズが抜けてる
客観的に見て、後者しかいないってことは無いけどなあ。頭の回る人はクズじゃないからクズに該当しないという論理ならわかるけど。
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
他のページと共通で読み込んでる、画像の横スライド表示切替を実現する汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だしhtmlそのものは改竄されてないからhtmlなどを見ても分からない(なにも問題がない)し、デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。自身でメンテしてるファイルはチェックもするだろうけど、以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。どのファイルでも書き換えられるような裏口進入した上で、発覚リスクの少ないslickファイルの改竄を行ったんだろうから、その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
「ペイメントアプリ」ってのは結局何なの、がよくわからないけど、決済を担当するアプリサーバーがあって、それは決済単機能を担っているために機能更新の必要がなくて、黙々と同じ動作を続けていたとかあってもすごく不思議とは思わない。
あと別の見方として、実際はいつ改竄が行われたのかの裏が取れない状況で、可能性最長の期間を報告している場合もあると思う。
今はたくさんの決済手段があって、その多くに対応しようとすれば決済機関ごとに契約が必要になる。だから自前で決済&請求を処理せずに請求処理は決済代行会社に委託しているとこが多く、その場合「ペイメントアプリ」に相当するものも外部業者の管理下なので改竄に気付きにくいなんてことはあるかもしれないね。
そのペイメントアプリを使ってる他社サイトでも同じ問題起きてるかもしれないな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
タリーズオンラインストアからクレカ情報流出か? (スコア:0)
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
Re:タリーズオンラインストアからクレカ情報流出か? (スコア:2)
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、
どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。
このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
Re: (スコア:0)
サーバー改竄がトレンドなのでカード情報流出と聞いたら基本全部漏れたと考えないといけない
改竄検知はまだ主流じゃないんだろうよ
Re: (スコア:0)
3Dセキュアだったら防げるかもしれないし、不正利用検知や補償で運用してるけど、
本当はもう素のクレカ情報でネット決済する方式自体に問題が積みあがってる気がする。
Re: (スコア:0)
数字という概念ならは離れるのは困難
生体認証にしよう
本人証明はマイナンバーカード紐付けで
Re: (スコア:0)
ttps://onlinestore.tullys.co.jp/
プレスリリースの使う必要ない場所でtinyurlとかわざわざ短縮URL使ってる会社はロクなITと広報社員しかいなさそう。
Re: (スコア:0)
> ロクなITと広報社員しかいなさそう。
それだと「まともな人材しかいない」という意味になるんだが
Re: (スコア:0)
スラドはクズしかいなさそう
Re: (スコア:0)
特に否定はせんけど、そこに自分が含まれる自覚はあるんだよなw
Re: (スコア:0)
スラドのクズは2つに分けられる。
頭の回るクズと、頭の回らないクズだ。
Re: (スコア:0)
> 頭の回るクズと、頭の回らないクズだ。
後者しかいない。
2つに分けるとしたら、自分は頭が回ると勘違いしているクズと、そうじゃないクズだ。
Re: (スコア:0)
他人を見下したがるクズが抜けてる
Re: (スコア:0)
客観的に見て、後者しかいないってことは無いけどなあ。
頭の回る人はクズじゃないからクズに該当しないという論理ならわかるけど。
Re: (スコア:0)
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
Re:タリーズオンラインストアからクレカ情報流出か? (スコア:1)
他のページと共通で読み込んでる、
画像の横スライド表示切替を実現する
汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、
フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だし
htmlそのものは改竄されてないから
htmlなどを見ても分からない(なにも問題がない)し、
デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。
自身でメンテしてるファイルはチェックもするだろうけど、
以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。
どのファイルでも書き換えられるような裏口進入した上で、
発覚リスクの少ないslickファイルの改竄を行ったんだろうから、
その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
Re: (スコア:0)
「ペイメントアプリ」ってのは結局何なの、がよくわからないけど、
決済を担当するアプリサーバーがあって、それは決済単機能を担っているために機能更新の必要がなくて、
黙々と同じ動作を続けていたとかあってもすごく不思議とは思わない。
あと別の見方として、実際はいつ改竄が行われたのかの裏が取れない状況で、可能性最長の期間を報告している場合もあると思う。
Re: (スコア:0)
今はたくさんの決済手段があって、その多くに対応しようとすれば決済機関ごとに契約が必要になる。
だから自前で決済&請求を処理せずに請求処理は決済代行会社に委託しているとこが多く、その場合「ペイメントアプリ」に相当するものも外部業者の管理下なので改竄に気付きにくい
なんてことはあるかもしれないね。
Re: (スコア:0)
そのペイメントアプリを使ってる他社サイトでも同じ問題起きてるかもしれないな。