アカウント名:
パスワード:
その先のカード会社のサーバで確認するんでしょそっちもぶっ通しなのかな?セキュリティが売り物のカード会社にしてはザルい気がするな
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな決済かけてないから失敗してもカード会社側は特に検知しないと思う新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。
業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。
わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。だから、普通は多数で共有してるものをブロックはしないはず。
今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
>普通は多数で共有してるものをブロックはしないクレカ番号は多数で共有するものだったのですか。
>PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。PayPayの顧客であってかつ自分とこの顧客でないクレカ番号をどうやってその競合は収集するの?
文盲だな、分からないなら口出さなきゃいいのに
PayPayサーバからオーソリ投げる決済ネットワークはPayPayユーザで共有して一つしかないだろだから、PayPay止めたい奴が適当なカード番号で連打すればサービス停止攻撃出来ちゃうでしょって話な誰がカード番号共有なんて話をしてるんだ、お前だけだぞ
決済ネットワーク単位でまるごと止めるんじゃなくてカード番号単位で止めればいいのでは?って話だと思ってたんだけど
本来のカードホルダーの決済すらとまんだろ馬鹿らしい
止まらずに不正利用されるよりはずっと良い。
それならPayPayからの照会ってのとカード番号両方合わせて絞ればいい話じゃない思考停止にもほどがあるんじゃ無いか?そんなにカード会社の無謬を主張する理由がわからんわ
よく知らんけど。タレコミ記事からはpaypayの仕様の問題とpaypayが悪用されているらしい話、コメントからは実例の有無は定かではないものの、paypayへの攻撃でカード番号等を得て他社システムで使えるというパターンを話してる人がいますね。
ま、とりあえず多社間でつないでるシステムの改修よりはpaypay内でできる改修をやったほうがいいんじゃないでしょうか。
クレジットカードの信用(クレジット)が揺らぐんでカード会社側からサービス拒否してもいいんじゃないかくらいにカード会社側システムもやばい話だと思うよ。それのみで成立してて資本が大きいからカード会社側からのサービス拒否は難しいだろうけど……だからってこんな問題の発生を許した上に対処の遅れをカード会社側が許容したとなると、ちょっとね。
>それならPayPayからの照会ってのとカード番号両方合わせて絞ればいい話じゃないただ、それだと #354867 [srad.jp] みたいなのは防げないんですよね。これを防ぐには、結局カード会社側で、決済ネットワークによらず同一のカード番号に対する失敗回数で制限をかけないとならないでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
PayPayの仕組みは知らんが (スコア:2)
その先のカード会社のサーバで確認するんでしょ
そっちもぶっ通しなのかな?
セキュリティが売り物のカード会社にしてはザルい気がするな
Re: (スコア:0)
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな
決済かけてないから失敗してもカード会社側は特に検知しないと思う
新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
Re: (スコア:0)
その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。
Re: (スコア:0)
業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。
なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。
わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。
だから、普通は多数で共有してるものをブロックはしないはず。
今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
Re: (スコア:-1)
>普通は多数で共有してるものをブロックはしない
クレカ番号は多数で共有するものだったのですか。
>PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
PayPayの顧客であってかつ自分とこの顧客でないクレカ番号をどうやってその競合は収集するの?
Re: (スコア:0)
文盲だな、分からないなら口出さなきゃいいのに
PayPayサーバからオーソリ投げる決済ネットワークはPayPayユーザで共有して一つしかないだろ
だから、PayPay止めたい奴が適当なカード番号で連打すればサービス停止攻撃出来ちゃうでしょって話な
誰がカード番号共有なんて話をしてるんだ、お前だけだぞ
Re: (スコア:0)
決済ネットワーク単位でまるごと止めるんじゃなくてカード番号単位で止めればいいのでは?
って話だと思ってたんだけど
Re:PayPayの仕組みは知らんが (スコア:0)
本来のカードホルダーの決済すらとまんだろ
馬鹿らしい
Re: (スコア:0)
止まらずに不正利用されるよりはずっと良い。
Re: (スコア:0)
それならPayPayからの照会ってのとカード番号両方合わせて絞ればいい話じゃない
思考停止にもほどがあるんじゃ無いか?
そんなにカード会社の無謬を主張する理由がわからんわ
Re: (スコア:0)
よく知らんけど。
タレコミ記事からはpaypayの仕様の問題とpaypayが悪用されているらしい話、
コメントからは実例の有無は定かではないものの、paypayへの攻撃でカード番号等を得て他社システムで使えるというパターンを話してる人がいますね。
ま、とりあえず多社間でつないでるシステムの改修よりはpaypay内でできる改修をやったほうがいいんじゃないでしょうか。
Re: (スコア:0)
クレジットカードの信用(クレジット)が揺らぐんでカード会社側からサービス拒否してもいいんじゃないかくらいにカード会社側システムもやばい話だと思うよ。
それのみで成立してて資本が大きいからカード会社側からのサービス拒否は難しいだろうけど……
だからってこんな問題の発生を許した上に対処の遅れをカード会社側が許容したとなると、ちょっとね。
Re: (スコア:0)
>それならPayPayからの照会ってのとカード番号両方合わせて絞ればいい話じゃない
ただ、それだと #354867 [srad.jp] みたいなのは防げないんですよね。
これを防ぐには、結局カード会社側で、決済ネットワークによらず
同一のカード番号に対する失敗回数で制限をかけないとならないでしょうね。