アカウント名:
パスワード:
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。- 受け取りはコンビニでok- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
良くない点はもちろんあるし、そこ自体は擁護とかせんけど、理由はあるようだ一応、これは機種変更の場合らしいとのこと(ソース失念)
> - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
2要素認証はあったけどオプションだった(これ自体はAmazon他のショップでも同程度じゃないかという気がせんでもないが...)
対策->2要素強制にするとからしい
> - 受け取りはコンビニでok
同上(電話としてどうなんだ、というのはわかるが、機種変更なのでSIMはないから?)
対策->今は不可になってるとのこと
> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるのでそこを突かれたらしい。
たぶん、登録アドレスだけだったとしても、パスワードが漏れてたら変更できちゃうし、その意味では特別弱いわけじゃないとも言えるのかなあ...# 設定変更で2要素認証必須とかなら別なんだけど
対策->発表にはなさそう?
あとドコモオンラインショップ側の穴という認識っぽいですね。
docomoの契約変更とかと共通の処理プロセスに相当しそうなので、金銭やら物品の授受が即座に発生することを考えるとたしかにまあそうかなあ...
>一応、これは機種変更の場合らしいとのこと(ソース失念)
ソースはこれ。
商品の受取方法 | 購入・ご利用ガイド | ドコモオンラインショップ | NTTドコモ [mydocomo.com]
他のショップだと、IPアドレスが変わったら念の為本人確認させる仕組みとかあったりしたと思うけどまぁそれも溜まってるポイントだとスルーするとかで楽天のポイント盗まれたりの事件はあったね。その時でもドコモは十分学ぶ時間あったんだけどね
> 対策->2要素強制にするとからしい
スマホを買いに行くスマホがない
>> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない>買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるので
代替を指定した場合でも、両方に送るようにすればいいんじゃないか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ナニコレ (スコア:2, 参考になる)
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
- 受け取りはコンビニでok
- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
Re:ナニコレ (スコア:2)
良くない点はもちろんあるし、そこ自体は擁護とかせんけど、理由はあるようだ
一応、これは機種変更の場合らしいとのこと(ソース失念)
> - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
2要素認証はあったけどオプションだった(これ自体はAmazon他のショップでも同程度じゃないかという気がせんでもないが...)
対策->2要素強制にするとからしい
> - 受け取りはコンビニでok
同上(電話としてどうなんだ、というのはわかるが、機種変更なのでSIMはないから?)
対策->今は不可になってるとのこと
> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるのでそこを突かれたらしい。
たぶん、登録アドレスだけだったとしても、パスワードが漏れてたら変更できちゃうし、その意味では特別弱いわけじゃないとも言えるのかなあ...
# 設定変更で2要素認証必須とかなら別なんだけど
対策->発表にはなさそう?
あとドコモオンラインショップ側の穴という認識っぽいですね。
docomoの契約変更とかと共通の処理プロセスに相当しそうなので、金銭やら物品の授受が即座に発生することを考えるとたしかにまあそうかなあ...
M-FalconSky (暑いか寒い)
コンビニ受取できるのは機種変更時だけ (スコア:3, 参考になる)
>一応、これは機種変更の場合らしいとのこと(ソース失念)
ソースはこれ。
商品の受取方法 | 購入・ご利用ガイド | ドコモオンラインショップ | NTTドコモ [mydocomo.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
他のショップだと、IPアドレスが変わったら念の為本人確認させる仕組みとかあったりしたと思うけど
まぁそれも溜まってるポイントだとスルーするとかで
楽天のポイント盗まれたりの事件はあったね。
その時でもドコモは十分学ぶ時間あったんだけどね
Re: (スコア:0)
> 対策->2要素強制にするとからしい
スマホを買いに行くスマホがない
Re: (スコア:0)
>> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
>買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるので
代替を指定した場合でも、両方に送るようにすればいいんじゃないか?