アカウント名:
パスワード:
その先のカード会社のサーバで確認するんでしょそっちもぶっ通しなのかな?セキュリティが売り物のカード会社にしてはザルい気がするな
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな決済かけてないから失敗してもカード会社側は特に検知しないと思う新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。
業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。
わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。だから、普通は多数で共有してるものをブロックはしないはず。
今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
>普通は多数で共有してるものをブロックはしないクレカ番号は多数で共有するものだったのですか。
>PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。PayPayの顧客であってかつ自分とこの顧客でないクレカ番号をどうやってその競合は収集するの?
顧客で何もとりあえずチェックを通せるカード番号なんて決済やってりゃわかるよ?大層なもんでもなく有効性検証は決済ネットワーク流さなきゃ分からないので先頭6桁はブランドと発行元で決まってるので残りの桁適当に埋めても流しに行くよ
もしくはバニラVISAでもJCBプリモでもKyashでもカード番号なんて手に入るよ?ねぇ、無知なのになんで偉そうに書いてんの?
すまんな、先に #3534867 とかを読んでたから『PayPay の決済ネットワークだけを通して攻撃する』前提だと思ってなかったわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
PayPayの仕組みは知らんが (スコア:2)
その先のカード会社のサーバで確認するんでしょ
そっちもぶっ通しなのかな?
セキュリティが売り物のカード会社にしてはザルい気がするな
Re: (スコア:0)
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな
決済かけてないから失敗してもカード会社側は特に検知しないと思う
新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
Re: (スコア:0)
その「カード有効性チェック」がブルートフォースアタック可能な仕様なのはどうなのよって話でしょ。
Re: (スコア:0)
業者(ここでいうPayPay)はカード会社にとっては1ユーザーだけど、PayPayを使うのは大多数。
なので、ユーザーあたりのFailカウントでロックかけると、後者の大多数が影響受けるでしょ。
わかりやすく言えば、携帯回線から誰かがブルートフォースした際に、そのIPアドレスをBANすると、そのIPアドレスを共有してる他の携帯ユーザーもログインできなくなる。
だから、普通は多数で共有してるものをブロックはしないはず。
今回はPayPayの実装が甘かったってことなんだけど、カード会社側でロックするシステムなら、PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
Re: (スコア:-1)
>普通は多数で共有してるものをブロックはしない
クレカ番号は多数で共有するものだったのですか。
>PayPayの競合がブルートフォースかけてPayPayがカード使えなくする攻撃が可能になる。
PayPayの顧客であってかつ自分とこの顧客でないクレカ番号をどうやってその競合は収集するの?
Re: (スコア:0)
顧客で何もとりあえずチェックを通せるカード番号なんて決済やってりゃわかるよ?
大層なもんでもなく有効性検証は決済ネットワーク流さなきゃ分からないので
先頭6桁はブランドと発行元で決まってるので残りの桁適当に埋めても流しに行くよ
もしくはバニラVISAでもJCBプリモでもKyashでもカード番号なんて手に入るよ?
ねぇ、無知なのになんで偉そうに書いてんの?
Re:PayPayの仕組みは知らんが (スコア:0)
すまんな、先に #3534867 とかを読んでたから
『PayPay の決済ネットワークだけを通して攻撃する』前提だと
思ってなかったわ