アカウント名:
パスワード:
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
他のページと共通で読み込んでる、画像の横スライド表示切替を実現する汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だしhtmlそのものは改竄されてないからhtmlなどを見ても分からない(なにも問題がない)し、デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。自身でメンテしてるファイルはチェックもするだろうけど、以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。どのファイルでも書き換えられるような裏口進入した上で、発覚リスクの少ないslickファイルの改竄を行ったんだろうから、その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
タリーズオンラインストアからクレカ情報流出か? (スコア:0)
https://news.yahoo.co.jp/articles/94641af2bae882460eb0ac59ba9deb34a8dd849f
Re: (スコア:2)
クレカ情報って、業者は持たないようにしましょうというのが世の流れなのに、
どういうことなんだろうと不思議に思ったのですが、
> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
> ペイメントアプリが改ざんされたことが原因。
とのことで、もうソレはどうしようもないかと。
> 氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
> クレジットカード番号、カード名義人名、有効期限、セキュリティコード
って、もう全部持っていかれて、涙目にしかならない。セキュリティコードは洒落にならないなぁ。
このアプリでは2段階認証とかしてたとしても、ほかの所で使えたらどうにもしようがない。
Re: (スコア:0)
>> サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けて
>> ペイメントアプリが改ざんされたことが原因。
>とのことで、もうソレはどうしようもないかと。
こんな長期間改竄に気づかないってことありえる?
Re:タリーズオンラインストアからクレカ情報流出か? (スコア:1)
他のページと共通で読み込んでる、
画像の横スライド表示切替を実現する
汎用のオープソースJavaScriptライブラリー slick のファイルが改竄されて、
フォーム入力したクレジット番号などを別途送信してた。
slickの機能は決済システムと無関係だし
htmlそのものは改竄されてないから
htmlなどを見ても分からない(なにも問題がない)し、
デザインリニューアルしても、jsファイルを読み込んでる限りは問題は続く。
自身でメンテしてるファイルはチェックもするだろうけど、
以前から使い続けてるライブラリーだとチェックが甘くなるのも分かる気がする。
最大の問題は、どうやってサーバのファイルを改竄したか、かな。
どのファイルでも書き換えられるような裏口進入した上で、
発覚リスクの少ないslickファイルの改竄を行ったんだろうから、
その改竄手口を解き明かさないと、真の問題解決にならない。
あとはまあ、Content-Security-Policyが適切に設定されてなかったのが残念。これが適切なら、悪意ある外部サイトへの情報送信はブロックされてたはず。