アカウント名:
パスワード:
セキュリティコード [wikipedia.org]
米国のVISAの場合、「架空のカードによる取引」を防ぐため、顧客からコードを伝えられたショップ側は、信用照会と取引が正常に終わればセキュリティコード情報を廃棄することを義務づけられている。
「米国の」とあるが、この扱いは何処でも同じだろう。
このショップは契約違反の行為を行っていたわけで、被害が出てもクレジットカード会社はケツを持たないだろうし、以後カード会社と契約結べなくなるんじゃないの。
> なんでセキュリティコードを保存しておくかな
http://blog.tokumaru.org/2016/03/blog-post.html [tokumaru.org]を見ると、THE KISS ONLINE SHOP は、「フォーム改ざんが攻撃経路と思われる」「決済代行」は「使用」と記されてます。
「思われる」ですから、確定ではないですが、徳丸氏の推定が正しければ、セキュリティコードは保存は保存しておらず、侵入者によって入力フォームを改竄され、ユーザーの行った入力内容を、決済代行サービスだけではなく、侵入者にも送っていたということになります。
ですので、
> このショップは契約違反の行為を行っていたわけで、
というわけじゃないってことなりますね。
なるほど。よく見ると盗まれた情報は
2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の氏名およびクレジットカード番号、有効期限、セキュリティコード
と
会員登録された顧客情報最大199,709件(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報
の2種類あって、20万件の登録情報にはカード情報は含まれず、セキュリティコードが漏えいしたのはクラックされた期間中に決済された537件のみということみたいなので、決済時に情報を直接抜かれていたという推測が正しそうやね。 #2997924 [security.srad.jp]は脊髄反
> 中間者攻撃で決済情報を盗み取ることもできるわけで、対策にならないように思えるが。
決済サービスのURLをきちんと確認する人なら防げるって意味なんじゃないでしょうか。リスクは低減できるかもしれませんが、完全に防ぐのは無理でしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
なんでセキュリティコードを保存しておくかな (スコア:2, 興味深い)
セキュリティコード [wikipedia.org]
米国のVISAの場合、「架空のカードによる取引」を防ぐため、顧客からコードを伝えられたショップ側は、
信用照会と取引が正常に終わればセキュリティコード情報を廃棄することを義務づけられている。
「米国の」とあるが、この扱いは何処でも同じだろう。
このショップは契約違反の行為を行っていたわけで、被害が出てもクレジットカード会社はケツを持たないだろうし、
以後カード会社と契約結べなくなるんじゃないの。
保存してないかも (スコア:0)
> なんでセキュリティコードを保存しておくかな
http://blog.tokumaru.org/2016/03/blog-post.html [tokumaru.org]
を見ると、THE KISS ONLINE SHOP は、
「フォーム改ざんが攻撃経路と思われる」
「決済代行」は「使用」
と記されてます。
「思われる」ですから、確定ではないですが、徳丸氏の推定が正しければ、
セキュリティコードは保存は保存しておらず、侵入者によって入力フォームを
改竄され、ユーザーの行った入力内容を、決済代行サービスだけではなく、
侵入者にも送っていたということになります。
ですので、
> このショップは契約違反の行為を行っていたわけで、
というわけじゃないってことなりますね。
Re: (スコア:0)
なるほど。よく見ると盗まれた情報は
2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の
氏名およびクレジットカード番号、有効期限、セキュリティコード
と
会員登録された顧客情報最大199,709件
(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報
の2種類あって、20万件の登録情報にはカード情報は含まれず、
セキュリティコードが漏えいしたのはクラックされた期間中に決済された537件のみということみたいなので、
決済時に情報を直接抜かれていたという推測が正しそうやね。
#2997924 [security.srad.jp]は脊髄反
Re:保存してないかも (スコア:0)
> 中間者攻撃で決済情報を盗み取ることもできるわけで、対策にならないように思えるが。
決済サービスのURLをきちんと確認する人なら防げるって意味なんじゃないでしょうか。
リスクは低減できるかもしれませんが、完全に防ぐのは無理でしょうね。