アカウント名:
パスワード:
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
他のページと共通で読み込んでる、画像の横スライド表示切替を実現する汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だしhtmlそのものは改竄されてないからhtmlなどを見ても分からない(なにも問題がない)し、デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。自身でメンテしてるファイルはチェックもするだろうけど、以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。どのファイルでも書き換えられるような裏口進入した上で、発覚リスクの少ないslickファイルの改竄を行ったんだろうから、その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
「ペイメントアプリ」ってのは結局何なの、がよくわからないけど、決済を担当するアプリサーバーがあって、それは決済単機能を担っているために機能更新の必要がなくて、黙々と同じ動作を続けていたとかあってもすごく不思議とは思わない。
あと別の見方として、実際はいつ改竄が行われたのかの裏が取れない状況で、可能性最長の期間を報告している場合もあると思う。
今はたくさんの決済手段があって、その多くに対応しようとすれば決済機関ごとに契約が必要になる。だから自前で決済&請求を処理せずに請求処理は決済代行会社に委託しているとこが多く、その場合「ペイメントアプリ」に相当するものも外部業者の管理下なので改竄に気付きにくいなんてことはあるかもしれないね。
そのペイメントアプリを使ってる他社サイトでも同じ問題起きてるかもしれないな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
タリーズオンラインストアからクレカ情報流出か? (スコア:0)
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
Re: (スコア:2)
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、
どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。
このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
Re:タリーズオンラインストアからクレカ情報流出か? (スコア:0)
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
Re:タリーズオンラインストアからクレカ情報流出か? (スコア:1)
他のページと共通で読み込んでる、
画像の横スライド表示切替を実現する
汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、
フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だし
htmlそのものは改竄されてないから
htmlなどを見ても分からない(なにも問題がない)し、
デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。
自身でメンテしてるファイルはチェックもするだろうけど、
以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。
どのファイルでも書き換えられるような裏口進入した上で、
発覚リスクの少ないslickファイルの改竄を行ったんだろうから、
その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
Re: (スコア:0)
「ペイメントアプリ」ってのは結局何なの、がよくわからないけど、
決済を担当するアプリサーバーがあって、それは決済単機能を担っているために機能更新の必要がなくて、
黙々と同じ動作を続けていたとかあってもすごく不思議とは思わない。
あと別の見方として、実際はいつ改竄が行われたのかの裏が取れない状況で、可能性最長の期間を報告している場合もあると思う。
Re: (スコア:0)
今はたくさんの決済手段があって、その多くに対応しようとすれば決済機関ごとに契約が必要になる。
だから自前で決済&請求を処理せずに請求処理は決済代行会社に委託しているとこが多く、その場合「ペイメントアプリ」に相当するものも外部業者の管理下なので改竄に気付きにくい
なんてことはあるかもしれないね。
Re: (スコア:0)
そのペイメントアプリを使ってる他社サイトでも同じ問題起きてるかもしれないな。