パスワードを忘れた? アカウント作成
16629655 story
セキュリティ

他人のTポイントカードを乗っ取れる脆弱性が放置されている 32

ストーリー by nagazou
脆弱性 部門より
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

16629565 submission
セキュリティ

他人のTポイントカードを乗っ取れる脆弱性が放置されている

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

筆者は両社に確認したが、回答が得られなかった。なお、IPAはこの手の脆弱性は受け付けないとのことなので、公知にすることにした。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

情報元へのリンク
15780933 story
ビジネス

Tカード会員のデータ販売、「同意」は利用規約で説明したと主張も法的な課題も 97

ストーリー by nagazou
既成事実 部門より
以前取り上げたようにカルチュア・コンビニエンス・クラブ(CCC)はTカード利用者の個人データ販売を進めることとなった。読売新聞では、こうした個人データ販売に対してCCCは「規約で説明し、利用者の同意は得ている」と説明してるが、この「同意」は法的に有効な同意といえるのかとして検証をおこなっている(読売新聞)。

記事によれば、個人情報保護法では個人データの第三者提供には本人の同意が必要とされ、同意の取得には「合理的かつ適切な方法によらなければならない」のだという。Tカード利用規約の該当部分では、「(会員の個人情報を)行動ターゲティング広告事業者に第三者提供することがある」とされ、該当する広告事業者には「行動ターゲティング広告を自社の媒体で行う事業者」が含まれる。この内容に関しては2021年7月の改定で追加されたものだという。

しかし、元記事ではこの改定の際、CCC側は登録者にメールで変更点を知らせたり、同意を取り直したりはしていないことから、個人情報保護法の「合理的かつ適切な方法」で「同意を得」たといえるか問題があるとする専門家の意見を掲載している。
15778147 submission
プライバシ

Tカード会員のデータ販売、「同意を得た」とは「利用規約で説明」

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
Tカード会社、4千万人分の顧客データを販売へ…「同意」は有効か
https://www.yomiuri.co.jp/science/20220903-OYT1T50092/

CCC、同意取得済のTポイントデータをオープン化
https://yro.srad.jp/story/22/07/31/1513237/
15623131 journal
日記

uruyaの日記: 熊野古道のち南勢のち多摩 2/11 6

日記 by uruya

05:36 北大阪急行千里中央駅
06:19 南海なんば駅
北大阪急行・地下鉄御堂筋線 千里中央発なかもず行 05

15240095 journal
変なモノ

nemui4の日記: 海外のネットサービス利用 2

日記 by nemui4

海外のネットサービスを利用するのに、ユーザが納得してジブンで入力した情報がその国にあるサーバーストレージに記録されるのって当たり前じゃないのかな。

google,MS,amazon他海外通販とか色々利用しているけど、それぞれ元締めの国にこちらのデータは保管されてるんだろうな、(表向きは)転用されないんだろうな、と思ってた。

国内だけど、Tカードなんて退会して残っている個人情報の削除を要求しても却下されるくらいだから、一度情報を入れたら永遠に残るのはしょうがない。

今仕事しに行っている会社でも、海外委託や取引先から日本国内のサーバーを利用される場合があるけど。
場合によっては安全保障関係で輸出入なんちゃらの役務申請をしてたはず。(法律よく知らない・・・)

国内公共サービスとかで、海外のサービスを利用する場合。
個別に守秘義務なり情報の転用を厳格に禁じる契約をしているでしょうし。

15036078 journal
インターネット

wuzhiの日記: NTTカード重要なお知らせ

日記 by wuzhi

Dカード利用いただき、ありがとうございます。
このたび、ご本人の利用かどうかを確認させていただきたいお引取がありましたので、誠に勝手ながら、カードのご利用を一部
製つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
(以下略)

…というメールが,Dカード(no-reply@d-cardgsvs.cards)からきた.

怪しいメールだと思ってリンク等はクリックしなかった.
やはり,迷惑メールの類だったようだ.
https://www.nttdocomo.co.jp/info/spam_mail/column/20170509/

14056196 submission
Android

daiei公式アプリ

タレコミ by pongchang
pongchang 曰く、
高齢者は5%オフのダイエー。働き盛りの不満を汲み取るとして、公式アプリに3%の割引クーポンのバーコードを配信するからという救済策を出した。

当社は2018年3月より、65歳以上のカード会員様(WAONPOINTカード、電子マネーWAON、イオンカード)に、売場のほとんど全品を5%OFFでお買物できるパスポートを配布しており、多くの方にご利用いただいておりますが、同パスポートをご利用いただけないお客さまにもお得にお買い物していただけるよう、新たにダイエー公式アプリをご利用のお客さまに「毎日売場ほとんど全品3%OFF」クーポンの配信を開始することで、当社はキャッシュレス、現金といった決済手段を問わず、すべてのお客さまの生活応援を行ってまいります。

レジに並ぶ直前に画面をだして、クーポンをクリックして、15分だけカウントダウンでスマホ画面に掲示されるバーコードをレジのバーコードセンサーが読んで、割引になる。
支払いの直前に読み込みなる。並ぶ時間、レジで売り上げを入力する時間、その時間を予測してバーコード画面を呼び出し表示させないと駄目である。レジ打ちに手間取ってで15分だとやり直し、並ぶ時間が長くても、15分が経つと消えてしまうクーポンである。レジ打ちが始まってからエッチラオッチラ、スマホを取り出してクーポンを出すと、次の客は待たされる。
アプリが常駐するだけ煩わしい以上に、店員さんの負担も大きく持続可能性の薄い仕組みだとおもった。WAONで「わぉ~ん」だけで済むなら店員さんも苦労が薄いのに、なぜ負担を強いるのだろう。

SIMの入ったスマートホンは持っていない。山塞机を日本語化したSIMフリーの中古を、「アンドロイドの練習」のために持っていた。SIMを入れていない携帯電話としては機能していない中華ロイドを、ダイエーの店ではFreeWiFiがあるというので、WiFiだけで動かしてみたが、まぁ動いた。

iPod touchでもいけるか?誰か試してみたろうか?


情報元へのリンク
14026303 story
ビジネス

CCC、Tカードに紐付けた履歴情報を使ってマッチングする出会い系サービスを開始 52

ストーリー by hylom
履歴がない人は対象外? 部門より

カルチュア・コンビニエンス・クラブ(CCC)グループのCreative 1が、Tカードに紐付けられた個人情報を使ってマッチングを行う出会い系サービス「D-AI」を開始する(プレスリリース)。

「約6,900万人のT会員データと円満夫婦のデータを機械学習させて、あなたと相性の良いお相手を高次元で予測」するという。

14024765 submission
プライバシ

CCC、Tカードに紐付けた履歴情報を使ってマッチングする出会い系サービスを開始

タレコミ by hylom
hylom 曰く、

カルチュア・コンビニエンス・クラブ(CCC)グループのCreative 1が、Tカードに紐付けられた個人情報を使ってマッチングを行う出会い系サービス「D-AI」を開始する(プレスリリース)。

「約6,900万人のT会員データと円満夫婦のデータを機械学習させて、あなたと相性の良いお相手を高次元で予測」するという。

13974884 journal
日記

akiraaniの日記: 本日のねためも 2

日記 by akiraani

「バーチャルキャスト」海外へ。Steamで配信開始「国境の垣根を越えた交流を」(AV Watch)
 サーバ本体はニコニコのままで、専用クライアントが出たという理解でいいのかな。アカウントはSteamのものが使えるようになるんだろうかね。

ソフトバンクとY!mobileのキャリア決済で「PayPay」のチャージが可能に 銀行口座やカードの情報なしで新規登録OK(ITmedia)
 yモバ使ってるから、決済で面倒がなくなるが、そもそもPayPayで支払うのがめんどくさいので使わないだろうな。

13953485 story
セキュリティ

7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 93

ストーリー by hylom
おおむね正しい実装 部門より

Anonymous Coward曰く、

7月1日より、ファミリーマート系のバーコード決済サービス「FamiPay」がサービスを開始している。同じタイミングでスタートした「7pay」が不正利用被害によって悪い意味で注目され、そのせいで影が薄くなってしまった印象もあるが、FamiPayでは今のところ不正ログインなどのトラブルは発生していないという(ITmedia)。

なお、TechCrunchによる主要payログイン時の安全性検証ではどのサービスもおおむねセキュリティ的な問題がないとのことだが、メルペイのみ2段階認証がなく、ログイン情報が洩れると不正利用が可能になるとのこと。

FamiPayにおいてはSMSを使った2段階認証を導入しているほか、ログイン時に毎回暗証番号の入力が求められるといったセキュリティ対策を導入している。さらに、セキュリティ的な理由から電子マネーの入金は店頭レジでの現金チャージと、「ファミマTカード」からのチャージに限定しているという。

13922997 submission
ビジネス

ヤフー、8月から「期間固定Tポイント」をPayPayに変更すると発表

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
ヤフーは、ヤフー関連サービスで付与している「期間固定Tポイント」を、PayPayで利用できる電子マネー「PayPayボーナス」または「PayPayボーナスミニ」に2019年8月から変更すると発表した。
https://www.watch.impress.co.jp/docs/news/1187737.html
https://about.yahoo.co.jp/pr/release/2019/05/31b/

「期間固定Tポイント」は、Yahoo! JAPAN関連のサービスで提供されるキャンペーンで付与されるポイント。数日から数カ月の有効期限があるほか、「通常のTポイント」と異なり他のポイントへの交換ができず、Yahoo! JAPAN関連以外のほとんどのサービスで利用できない。アカウントを連携させてもTカードからは使えないという制限もある。
https://points.yahoo.co.jp/guide/limited.html
「期間固定Tポイント」から「PayPayボーナス」または「PayPayボーナスミニ」へ変更されることによりPayPay残高として支払えるようになり、実店舗やオンラインで広く利用できるようになる。

Yahoo!ポイントは、2013年7月1日にTポイントに統一された。
https://it.srad.jp/story/13/06/04/0811250/
現在の共通ポイント業界ではTポイント以外にも、WAON、Ponta、楽天、dポイントなどがオンラインアカウントと物理カードをもって、さまざまなチェーン店のショッピングサイトと実店舗で利用できるよう獲得競争が続いている。
Tポイント提携大手のファミリーマートがマルチポイント化を発表するなど、共通ポイントの動向が注目される。
https://yro.srad.jp/story/19/04/17/1055243/
http://www.family.co.jp/company/news_releases/2019/20190410_02.html
13834657 journal
日記

m_nukazawaの日記: ノー・プライバシー・キャンペーン 12

日記 by m_nukazawa

というのをセルフで始めた。
個人活動の活発化と効率化を目的として、それを阻害するような『個人情報公開に対する自分の中での忌避感』を和らげていこう、というキャンペーン。

友達にSkypeでそんな話をしたのだが、そもそも我々はインターネット勃興世代で、インターネットと言えば2chだった。
2chは匿名性が前提の無法地帯であり、「IPアドレスから個人情報を割って公開し個人宅に凸する・させる」的攻撃は、ICBMに相当する畏怖の対象として扱われている。
明に暗にインターネットの暗黒面、特に個人情報公開の危険性を刷り込まれてきた私たちの世代は、インターネットで個人情報や実名を公開することに抵抗を感じ、行動をためらうことが多い。
(googleを例外として。Don't be Evilの時代はとうに過ぎ去ったレトロ時代の感傷に過ぎないと知っていながら、無心唯物結果主義寄りのはずの私たちが、あの頃のgoogle幻想を未だに信じ縋っているように感じる。)

13822677 journal
日記

akiraaniの日記: 本日のねためも 1

日記 by akiraani

2019年の花粉シーズン予測、関東は2月中旬からスタートする見込み(家電Watch)
 ううむ、もうそんな季節なのか。予測を見る限りうちの近所は例年並みって感じかなぁ。昨年は内科で処方してもらった薬でうまく乗り切ったけど、今年も処方してもらうかねぇ。

日本の鉄道システムの正確さ・信頼性を支えるのは「指さし確認」(GIGAZINE)

「指をさす」「声を出す」と、行動自体はとてもシンプルですが、通常なら100の行動に対するミスを2.38回から0.38回へ、85%近く減少させられるとのこと。

13820712 journal
日記

akiraaniの日記: 本日のねためも 7

日記 by akiraani

映画「ドラゴンボール超 ブロリー」米国でデイリー1位記録 「ミュウツーの逆襲」「ルギア爆誕」に次ぐアニメ歴代3位発進(ITmedia)
 メリケンでもドラゴンボールって人気なんだ……。ドラゴンボールってヤマトみたいな人気コンテンツのリバイバルとはなんか毛色が違う気がするんだよな。うまく言えないけど、懐古主義的な気配がほとんど感じられないというか、今も昔も変わらず子供が見てる印象がある。

13819439 story
プライバシ

Tカード利用者の個人情報、令状なしで捜査当局に提供されていた 116

ストーリー by hylom
筒抜け 部門より

先日、捜査当局がスマホゲーム運営会社経由で令状なしで被疑者の位置情報を取得していた疑いという話題があったが、捜査当局はこれ以外にも令状無しに個人情報を収集する手法を確立していたようだ。

今回新たに報じられているのは、「Tカード」を展開しているカルチュア・コンビニエンス・クラブ(CCC)が会員情報を令状無しで提供していたこと(共同通信ITmedia)。

情報提供については会員規約には記載されていないにも関わらず、当局からの要請に応じて氏名や電話番号、購入履歴などの情報を提供していたという。この報道に対しCCCは、今後会員規約に当局からの要請で情報を提供することを明記する方針だとしている。

なお、1月3日には捜査当局が顧客情報を入手できる企業など計約290団体のリストを作成していたことが報じられていた(信濃毎日新聞中日新聞)。この報道では対象企業として主要な航空、鉄道、バスなど交通各社、クレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店、ポイントカードの発行会社、携帯電話会社などが挙げられていた。

13776381 story
IT

カードレスでTカードサービスを利用できるアプリ、突然Tカード番号入力を求められる仕様に不満の声 18

ストーリー by hylom
なぜ突然 部門より

スマートフォン向けTカードアプリ(モバイルTカード)の利用時に「本人確認が必要」などとして突然カード番号の入力を求められる例があるという(Togetterまとめ)。

モバイルTカードは、アプリに表示されるバーコードや「おサイフケータイ」機能を使ってTポイントを貯めたり、貯めたポイントを利用できるもの。利用にはあらかじめTカード番号を登録するか、もしくは「モバイルTカード専用Tカード番号」を発行しておく必要がある。

今回話題となっている「本人確認」はカードの利用時に行われ、登録しているTポイントカードの番号が求められるという。しかし、出先などでTポイントカード番号が分からなかったり、Tカード自体を破棄しているケースなども多く、不満の声が出ている。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...