メインメニュー
PR
facebook

7ペイの不正アクセス


投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/5 6:59
Chryso  スタッフ   投稿数: 5080
https://www3.nhk.or.jp/news/html/20190705/k10011983011000.html

パスワード変更のメールが登録メールアドレス以外にも指定できる仕様が問題視されていますが、当然パスワード変更メールは「登録メールアドレス」と指定したアドレスに行く(と思うが)それに気づかなかったということか?

この記事ではその仕様とは関係なく、第三者が不正にアドレスを入手して、チャージしてそれを引き出したと読めます。

1日に3万円×3回チャージできるという仕様もなんだかなあ、です。
1回のチャージ額が大きすぎるのではないか?

交通系:例えばSUICAは上限額が2万円です。チャージ額ではなくて、現在登録してある金額がいくらか、できまります。交通系でそう高額の決済はない、とうのが理由のひとつらしいですが、それなら7ペイも、コンビニでそんなに使うとは思えない。

楽天edyが上限が5万円だそうです。



投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 7:25
YMN  常連   投稿数: 746
 社長の「ニダンカイニンショウ?」が印象的でした。
大会社の社長はそんな細かいことは知らなくて良いという考えもあるでしょう。
しかし枝葉でも根幹に関わるキーとなる部分があり、それに当たるようでもあります。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 18:09
Chryso  スタッフ   投稿数: 5080
パスワードを変えて別のメールアドレスで受けているのなら、なんでチャージの連絡が、登録した本人のメールアドレスに届くのか...

セブンペイの仕様の脆弱さがニュースになっていますが、本件はそれとは関係ないのでは..
いいとは、いいませんが。

アカウントとパスワードを、内部の人間が盗んだのではないか。それだと数人分のアカウントの連絡が出し子にあったという説明がつきます。ああ、そういえば被害額が最低で5500万円でしたね。かなりのアカウントがないとこの金額にはいきません。

アカウントを盗んでパスワードを総当り戦で類推した、にしては盗まれたアカウントが多すぎるようですし。
だいたい、オンラインでは総当りでパスワードを類推することもできなくなっています。
ペイペイはセキュリティコードを無制限に入力できるというので問題になりましたが。


投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/6 19:31
Chryso  スタッフ   投稿数: 5080
二重認証だからといっても、絶対安全とは言い切れないという指摘もあったが、メディアでは、黙殺されているような。

悪意さえあれば(笑)偽のサイトを作って、そこにユーザーを誘導して、パスワードを発行すれば、アカウント、パスワードが悪意あるユーザーのもの。

ハードルは高そうですが、できないわけでもなさそうです。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/7 11:27
Chryso  スタッフ   投稿数: 5080
二重認証。
某自治体のシステムは、パスワードを半年に1回、変更するようになっていて、実際に長期間使わず、ひさびさにログインしようとしたらパスワードを変更するようにいわれた。

そのパスワード、いままで使っていたものではいけないようで、本当に変えないといけない。仕方がないので、いわれるとおりパスワードを変えて、新しいパスワードはこれだ、と使う人に周知した。

パスワードのデータベースも更新しないといけないし、それが紙メディアで提供されていたら、それも更新しないといけないし。

めんどうな話ですが、パスワードで安全を保っているシステムだとこうすることになりますね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/12 13:46
Chryso  スタッフ   投稿数: 5080
https://www3.nhk.or.jp/news/html/20190712/k10011991171000.html

チャージが1日あたり30万円だとか。

思うに、そんなに大きな買い物はしないコンビニのレブンイレブンだけでなく、ゆくゆくはイトーヨーカドーでも使えるように、あらかじめチャージ金額を大きくしておいたものと思われ。

原因はまだはっきりとはわかっていないし、報道もされていませんね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2019/7/13 19:22
Chryso  スタッフ   投稿数: 5080
NHKも小出ししていますが。

抜かれた男性は、パスワードは使い回ししていないし、類推できるようなものではない16文字のもので、自分の手帳だけに書いてあると主張。(PCなどにはなくて、ネット経由ではぬすめないということ)

それでも漏れたのだから、普通に考えるとサーバーが攻撃を受けて、ID、パスワード(クレジットからのチャージ、7PAY使用の2種類)の組み合わせが盗まれた、というシナリオになりますね。
投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2019/7/20 23:10
Chryso  スタッフ   投稿数: 5080
パスワードはときどき変えるように、という注意書きがありますが、パスワード生成のルールが変わらなければ、どういうパスワードにしても「総当たり戦」を喰らえば、解読されてしまいますね。

総当り戦のできないシステムが必要ですが。これをやると利便性は落ちますね。
某自治体のシステムはパスワードを1回でも間違えるとリトライできるのに30分かかるようになっています。

投票数:0 平均点:0.00
返信する

このトピックに投稿する

題名
ゲスト名
投稿本文
  条件検索へ


ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
PR
twitter
Created by: twitter website widget