アカウント名:
パスワード:
徳丸浩の日記 - メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く [tokumaru.org]
セキュリティエンジニアの徳丸氏による報告書の解説が興味深かったので共有。重要な決済サーバーがある環境に、関係ないサーバーが同居してたり、なんというかグダグダですな。セキュリティの原則は余計なもの動かすな、というのを感じさせる事態ですわ。
某アグリゲーションなフィンテックの会社にいましたが、クレカ・銀行関係対応のエンジニアはスクレイピングではなく正規のAPI呼んでるだけだとしても執務エリアも別でしたよ。もちろんカード番号や有効期限などは保持してませんが、それでも完全にセパレートされていて、さらに人材もいわゆる今風なエンジニアだけではなく社内情シスセキュリティガッチガチ利便性なにそれが目を光らせてました。
管理したくないなら持たなきゃいいのにね。
>某アグリゲーションなフィンテック
MT社とMF社が頭に浮かぶけど、そのどちらかだろうか。銀行の認証情報を渡す必要があるってだけで敬遠してきたが、内部はさすがに(それなりに)きっちりやってるわけか。
流出件数に約240万件足された内容確認したかったので助かる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く (スコア:2, 参考になる)
徳丸浩の日記 - メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く [tokumaru.org]
セキュリティエンジニアの徳丸氏による報告書の解説が興味深かったので共有。
重要な決済サーバーがある環境に、関係ないサーバーが同居してたり、なんというかグダグダですな。
セキュリティの原則は余計なもの動かすな、というのを感じさせる事態ですわ。
Re:メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く (スコア:1)
某アグリゲーションなフィンテックの会社にいましたが、クレカ・銀行関係対応のエンジニアはスクレイピングではなく正規のAPI呼んでるだけだとしても執務エリアも別でしたよ。
もちろんカード番号や有効期限などは保持してませんが、それでも完全にセパレートされていて、さらに人材もいわゆる今風なエンジニアだけではなく社内情シスセキュリティガッチガチ利便性なにそれが目を光らせてました。
管理したくないなら持たなきゃいいのにね。
Re: (スコア:0)
>某アグリゲーションなフィンテック
MT社とMF社が頭に浮かぶけど、そのどちらかだろうか。
銀行の認証情報を渡す必要があるってだけで敬遠してきたが、内部はさすがに(それなりに)きっちりやってるわけか。
Re: (スコア:0)
流出件数に約240万件足された内容確認したかったので助かる