Re:タリーズオンラインストアからクレカ情報流出か？ (#4609197) | 雑談用ストーリー [2]

「雑談用ストーリー [2]」記事へのコメント

記事ページを表示 500コメントを取得

検索1761コメント Log In/Create an Account

タリーズオンラインストアからクレカ情報流出か？ (スコア:0)

by Anonymous Coward

https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
- Re: (スコア:2)
  
  by Dharma-store (47177)
  
  クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、
  どういうことなんだろうと不思議に思ったのですが、
  > サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
  > ペイメントアプリが改ざんされたことが原因。
  とのことで、もうソレはどうしようもないかと。
  > 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
  > クレジットカード番号、カード名義人名、有効期限、セキュリティコード
  って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。
  このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ＞> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
    ＞> ペイメントアプリが改ざんされたことが原因。
    ＞とのことで、もうソレはどうしようもないかと。
    こんな長期間改竄に気づかないってことありえる？
    - Re:タリーズオンラインストアからクレカ情報流出か？ (スコア:1)
      
      by taka2 (14791) on 2024年10月07日 11時52分 (#4609197) ホームページ日記
      
      他のページと共通で読み込んでる、
      画像の横スライド表示切替を実現する
      汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、
      フォーム入力したクレジット番号などを別途送信してた。
      slickの機能は決済システムと無関係だし
      htmlそのものは改竄されてないから
      htmlなどを見ても分からない(なにも問題がない)し、
      デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。
      自身でメンテしてるファイルはチェックもするだろうけど、
      以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
      最大の問題は、どうやってサーバのファイルを改竄したか、かな。
      どのファイルでも書き換えられるような裏口進入した上で、
      発覚リスクの少ないslickファイルの改竄を行ったんだろうから、
      その改竄手口を解き明かさないと、真の問題解決にならない。
      あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

雑談用ストーリー [2] More ログイン

「雑談用ストーリー [2]」記事へのコメント

タリーズオンラインストアからクレカ情報流出か？ (スコア:0)

Re: (スコア:2)

Re: (スコア:0)

Re:タリーズオンラインストアからクレカ情報流出か？ (スコア:1)

スラド