軒先パーキングからセキュリティコードを含むクレジットカード情報や会員情報が流出 47
ストーリー by hylom
傍受された的なやつでしょうか 部門より
傍受された的なやつでしょうか 部門より
あるAnonymous Coward曰く、
自宅などの駐車スペースの貸し借りを仲介するサービス「軒先パーキング」からセキュリティコードを含むクレジットカード情報、パスワードなどの会員情報が流出したそうだ(運営者である軒先の発表)。
流出した可能性がある個人情報はクレジットカード情報最大38,201件、会員報最大111,959件。データベースサーバー内の会員情報が流出したわけではなく、WEBサイト上でデータをやりとりする過程においてシステムの脆弱性をついた不正アクセスによって流出したという(同社による説明)。このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
全然違うことと思った (スコア:2)
カーナビとかが賢くなりすぎて、いろんなセキュリティ・プライベート情報を溜め込んで、「軒先に止めてある」車から、何らかの電波をつかって、情報を抜き出したのかと思った。
キーレスエントリーをMITMとかやるネタはあったし。レストランの窓際に座ったら、キーレスのスクータのエンジンがかけれたとかも聞いたことがあるし。
スラドでも (スコア:1)
>このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。
スラドで何度指摘しても世間にはなんの影響も無いよね
せめて日本だけでも総務省だかどこかの省庁だかが罰則含めた制度でも作ってやるとか
Re:スラドでも (スコア:1)
運営側の説明によると、DBの情報が流出したわけではないようです。
罰則云々は今回と関係のない話なのか、脆弱性をもったシステムを運用したことにかかるのでしょうか。
Re: (スコア:0)
生のパスワードが流出するって、仕様の時点で問題有りの欠陥システムじゃないですか
発注元にも責任ありでしょう
Re: (スコア:0)
(今回の件がどうか知りませんが)例えば、別のサイトに情報を送信するように入力フォームのHTML生成部が改ざんされたとします。どうやって仕様で防ぎますか。
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
ソリューションは色々ありそう
例).正規Webサイト改ざん
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/m... [trendmicro.co.jp]
Re: (スコア:0)
そのページも当回しに言っているがウェブサイトを改ざんされた段階で手遅れです。
サーバと外部サーバの通信を監視するとかサーバと無関係なサーバとの通信経路を無効化しておくというのは有効だがそのへんはユーザのブラウザが直接攻撃者にデータを送信すれば済む話ですから。
できるのは改ざん対策と改ざん後の素早い対応だけ。されたという前提で話すなら事後対応を素早く行う以外にないな。
改ざんを検知したら自動的に停止するようにするとか?
Re:スラドでも (スコア:1)
>どうやって仕様で防ぎますか。
暗号化されたパスワードを入力させる(キリッ
Re:スラドでも (スコア:1)
暗号化されたパスワードを入力させる(キリッ
ひょっとして冗談で言ってます?
すでに暗号化されたパスワードを送信して認証する仕組みはあるのだけど。
#自分は「チャレンジ&レスポンス」と言いたいだけ。
Re: (スコア:0)
「HTML生成部が改ざんされた」ケースで漏えいを防ぐための仕様なんですから、生パスワードをテキストフィールドに入力した時点でアウトでは?
#3072853氏のおっしゃっているジョークは、ユーザがテキストフィールドに入力する文字列が既に暗号文化済み、というものかと。
(手動チャレンジ&レスポンス?)
Re: (スコア:0)
ニイタカヤマノボレ、とか
Re:スラドでも (スコア:1)
世間に届いたとして、未だにログインページすら暗号化されておらず平文でパスワード送信するスラドお前が言うな、と帰ってくるのがオチ
Re: (スコア:0)
https://twitter.com/ockeghem/status/769425440897236992 [twitter.com]
Re: (スコア:0)
保存してないけど漏洩させるとな?
Re: (スコア:0)
保存する前に漏洩したんだからうちの責任じゃない!
Re: (スコア:0)
保管していたデータが盗られたのではなく、
入力時に横流しされるような状態だった(webサイト改竄など)ということなら、
保存せず漏洩は可能。今回どうだったかはしらん。
Re: (スコア:0)
スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコード
公的な規格じゃないからなのかな。PCI DSSではあるそうだけど。 http://srad.jp/comment/2998040 [srad.jp]
Re:スラドでも (スコア:1)
これを機にというか大いに便乗してPCI DSSの宣伝をしたら良さそうだけど
よほどひどい被害が出て世間の耳目を集めるか、美味い汁を吸えるような仕組みがないと誰もやらないんだろうなぁ。
Re:スラドでも (スコア:1)
本来はPCI DSSはちゃんと対応してないならアクワイアから加盟店契約を切られてしかるべき。
でも、カード会社自体が対応できてないケースすらあるから何をか言わんや。
各ブランドはもっとしっかりアクワイアを締め付けるべき。
Re: (スコア:0)
訳: スラドの半可通でも指摘できるような
クレジットカード会社は (スコア:0)
今回のような流出が起こった場合、
各加盟店のシステムについて同様の脆弱性がないか調査依頼は実施してるんだろうか。
一定期間内の報告がない場合は加盟店契約を破棄でそうなものだが。
Re: (スコア:0)
セキュリティの調査は金も時間もかかるよ。誰の費用でやるの?
しかも今回システムの脆弱性としか言っていないわけで、同様の脆弱性と言われてもどのような観点で何を調べれば良いのやら…
Re: (スコア:0)
今回のような流出が起こった場合は「認定フォレンジック機関(PFI)」に調査を依頼して報告書を得た上で、PCI DSSの監査(QSAかな?)をしないとカード取引の再開ができません。
日本ではPayment Card Forensics㈱一択のように思えますが、実はNRIセキュアも認定会社です(ニュースリリース [nri-secure.co.jp])。が、私が知る限りNRIセキュアがPCI DSSのフォレンジック調査したって話を聞いたことがないんだよなぁ………中の人でもイイから知っている人事例プリーズ。
先のニュースリリースによるとNRIセキュアはPCI DSS関係の4つの認定(QSA/PA-QSA/ASV/PFI)をすべて持っているとのこと。
Re: (スコア:0)
NRIの人がんばれ!
Re: (スコア:0)
「この先生きのこる」みたいな書き方をしてしまいましたが、欲しいのは人事例ではなく、事例です(´・ω・`)
※クレジットカードでは「即日本カード発行」という書き方をすると「日本カード発行?」と訳が分からなくなります(゚∀゚)
この類って、事例集みたいなものが作りにくいからセールスしにくいんだろうなぁ(事例=オモラシ犯だし)。ガンガレということで、事故対応支援「PFIクレジットカード情報漏えい調査サービス」 [nri-secure.co.jp]
Re: (スコア:0)
今回のような流出が起こった場合は「認定フォレンジック機関(PFI)」に調査を依頼して報告書を得た上で、PCI DSSの監査(QSAかな?)をしないとカード取引の再開ができません。
これは流出元の加盟店のみに対する処置なんだろうか?
同様の原因による流出防止のためには、決済システムに対する基準の改定と共に全加盟店に対して再審査が必要かと思いますが
実際はそうでもないのだろうか。。。
カード会社も再流出時のコスト(真のカード所有者に請求できない決済など)は引っ被りたくないよねぇ。
Re: (スコア:0)
決済システムのPCI DSS認定はほぼ必須でしょ?
今の基準だと3年に一回は再検査が入りますよ。
お漏らし事例の会社の再開をラクにするためPCI DSS認定の決済システムに丸投げして、その入口だけ監査して範囲を狭めるというのは割とフツーの動きだと思ってます。
100%安全でないものは (スコア:0)
使うべきではないって言ったら、クレジットカードも含まれるよなぁ。
1年で何千万件流出してるんだろうか。
Re:100%安全でないものは (スコア:1)
>1年で何千万件流出してるんだろうか。
毎年多くのタヒ者を生み出しているDHMOなんてのもモッテノホカですね。
Re: (スコア:0)
おうよ、酸素も猛毒だしな
Re: (スコア:0)
生まれてくるから死んじゃうんですよ。繁殖こそ悪。
Re: (スコア:0)
そう考えていたら魔法使いになっていた orz
Re: (スコア:0)
年金機構の情報漏洩があってから、「絶対漏洩しないシステムを」と言われたので「絶対無理!」と答えたかったけど言えなかった。。
クレジットカード情報の漏洩事件、ですね! (スコア:0)
Re: (スコア:0)
クレジットカード情報をサイトに登録するのは止め
今回のケースでは、関係ないと思います。
Re: (スコア:0)
3Dセキュアでも、前段階でサイト側にクレジットカード番号とブランドを入力させるよな。
もうその時点で漏れるから。
クレジットカードの不正利用被害、拡大中。 (スコア:0)
Re: (スコア:0)
なんで、そんなに鬼の首とったように、改行も入れずにまくしたて、やたら読点使うんですか?
Re: (スコア:0)
1文内の「てにをは」がきちんと使えなくて読点を使っているみたい。
個人的判別方法として、こういう人は日本語ネイティブではないんだと思っていて
思想に日本人以外の何かが入っている可能性がある。と斜めに見ることが多い。
Re: (スコア:0)
思想は関係ない。知能指数は低いだろうが
Re: (スコア:0)
知能指数は理系的能力に偏ってるらしいし、また違う能力なんじゃねの。
しかしまぁ、言ってることは「日本人以外が入ってる可能性がある」、なんてのよりはましだと思うがね。
インテリ系の2ch (スコア:0)
すらどって、インテリ系の2chですなあ
しみじみ
Re: (スコア:0)
インテリを気取った2chの間違いだろ
Re: (スコア:0)
単純にガラケー世代なんじゃね?
・画面が狭いから文章の推敲はせずに思ったことをどんどん打ち込む
・画面幅が狭いから改行はあまり意味を持たないので使わない
P.S.
つまりガラケー世代は「日本人以外の何か」だったんだよ!
な、なんだってー!!
Re: (スコア:0)
コピペだからでは?
おなじsophieというハンドルでコメント書きまくっている人がいます(うちの個人blogにも来てます)。
そういうコメントbotがあるんじゃないかという気もしますけど………この人のコメントこんな感じ [srad.jp]だし。
Re: (スコア:0)
これ3Dセキュアの宣伝なんですかね
ググった感じだとどのコメントにも3Dセキュアが出てくる……
てっきり (スコア:0)
ハードウェアハックかと思ったら、単純にWEBサイトか。
パーキングでのクレカ支払いは何か仕掛けられても気づきにくいと思ってるんだが、今のところ、そーいう話聞かないよな。採算が合わないのか、案外難しいのか。