ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 33
ストーリー by hylom
入力を盗む系はたちが悪い 部門より
入力を盗む系はたちが悪い 部門より
家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った。
これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。
同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ(Yahoo!ニュース)。
よりマズイのでは (スコア:2)
> 同サイトではセキュリティコードの保存は行っていなかったが、
> アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ
セキュリティコード云々以前に
データ直接抜き取られるとか一番ダメなやつではないのか。
本当にカード情報だけ?と言わざるを得ない気が。
Re:よりマズイのでは (スコア:1)
https://blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-info... [tokumaru.org]
https://blog.tokumaru.org/2019/05/credit-card-information-leak-inciden... [tokumaru.org]
手口はType4だと推測されています。これはデータベースからデータを抜いたわけではなく
入力フォームを改竄して外部に送信するやつです。
ECサイト側がデータベースにカードデータを保存しなくなったので新たに出てきた手口ですね。
Re: (スコア:0)
何をそんなに困ることがあるの?
リンクもなく突然 Type4 とか言われたらその文句も納得できるけど、リンク張ってあるんだから Type4 が何なのかリンク先にあることくらい推測できるでしょ
リンク先読むのも面倒だからコメント内で説明してくれってこと?
Re: (スコア:0)
わざわざリンク先を読まないと分からない単語を使ってコメントする意味がわからん。
ふつう国語力のある人間ならそんなおかしな文章は書かないから、自分が知らないだけで「Type4」に関する合意のある前提が世の中に存在するのかと勘繰って無駄な時間を浪費することになる。
このリンク先を読んで、徳丸氏の勝手な命名か、標準化された名称なのか判断できる?
Re: (スコア:0)
ローカル変数をスコープ外で使うなということでしょ。それは関数宣言していようがいまいが同じこと。だからグローバル変数や定数で宣言されてるのかを訊いてる。
Re: (スコア:0)
一般的にはたぶん通じないけど、スラドであればこれほど的確な説明がない。
元コメもこれくらい的確な文章が書ければ無駄な議論がなかったのに、残念だ。
Re: (スコア:0)
関数から取得できるオブジェクト参照すれば値を取得できるでしょ。
Re: (スコア:0)
「カード type4」ってググるだけで一番上に出てくるのに
調べるのも嫌、リンク先読むのも嫌、困りますって・・・
わがままもいい加減にしろw
Re: (スコア:0)
「カード type4」ってググるだけで一番上に出てくるのは親コメで示された記事 [tokumaru.org]のようだけど、それをわざわざググり直して何を調べろと?
Re: (スコア:0)
貴方 周囲の人とうまくやれてるか心配
Re: (スコア:0)
フロントエンドに改ざんがあったからといってDBが抜かれてるとは限らん。
サイトの仕組み的に抜ける余地があったとしても、入力フォームの盗聴よりはるかにムズい。
一番ダメなのは
規約に反してセキュリティコードも保存してて、しかもDBに保存してある全会員の全情報をごっそり抜き取られた
かな。
Re: (スコア:0)
サービス側のセキュリティの程度と、改ざんの手口が気になりますね・・公表されるかな。
一瞬 32,768 件に空目 (スコア:1)
ずいぶんレトロなシステム使ってるんだなあと
寝不足だなあこれ
Re: (スコア:0)
わざわざ16bit目を立てなくても…
ここは素直に32767で。
Re: (スコア:0)
1オリジンかも知れないだろ。
宣伝メールは来るが (スコア:0)
今回の流出については何もない
こういう会社なのかな
Re: (スコア:0)
こういうところに書いてないで、そういう会社に直接聞いたら?
Re: (スコア:0)
たしかユニシスだったはずだがどこまで噛んでるのかね
Re: (スコア:0)
そりゃ改ざん出来なくなってるシステムってのが望まれるのはわかるけど
当時の設計に不備がなければ、納品した後に発生する現時点の改ざんは運用者の問題なんじゃないの?
Re: (スコア:0)
期間中に購入しましたか?
対象外なら公式サイトなどの告知で十分では。
Re: (スコア:0)
おそらくこういう経営者
Re: (スコア:0)
や、まだ分からない。
予防策 (スコア:0)
この手の案件があるから通販にはニコスのe-さいふ使ってたんだけど
先月でサービス終了したんですよね。目下以下の条件で乗り換え先を探し中。
・カード番号の破棄と再発行が容易にできる
・低手数料
・物理カードの有無にはこだわらない
エポスとかかなあ…
Re: (スコア:0)
VISAのワンタイムデビットでも使ったら?
クレカじゃないけど同様に使えるし。
Re: (スコア:0)
FinTech全盛でMasterCardプリペイドねっと、Vプリカ、JNBカードレスVisaデビット、ドコモ口座VISAデビット、エポスバーチャルカード、……と選り取り見取りですよ。
エポス以外は手数料が掛かってしまうので、私は専ら普通に物理カード使っていますがね。楽天KCのような極悪アクワイアラでもない限り不正利用補償が下りますから。
Re: (スコア:0)
自社でちゃんとエンジニア抱えてきっちり開発・運営してるとこじゃないとなかなか信用しづらいわな。
Amazonとか楽天みたいに。
外注とかで他人任せだとどうしても費用なんかでセキュリティ後回しになるだろうし、
発注主が技術わかってないんじゃ残念仕様になるのも必至だし。
なので、自分はリスクによって使うクレカ変えてる。
Amazonとか信用度高いとこは某ゴールドカード、大手系なら某一般カード、で零細などハイリスクなとこはKyash使ってる。
まぁでもこのやり方でいけば、ヤマダなら一般カードだっただろうし、一定のダメージはでたかも。
サブスクリプションはゴールドカードにしてる。
Re: (スコア:0)
クレジットカードを使うときってトラブルが起こりそうなところほど,クレジットカード会社のサポートが期待できるところを選ばない?
Re: (スコア:0)
クレジットカードに付いてる損害保険いいよねー。あれだけで元が取れた気になれる。
Re: (スコア:0)
> 元が取れた気になれる
実際、元は取れてないんですね。損してるじゃないですか。
#何かが違う。
Re: (スコア:0)
外注とかで他人任せだとどうしても費用なんかでセキュリティ後回しになるだろうし、
発注主が技術わかってないんじゃ残念仕様になるのも必至だし。
ホントこれ
某fintechな会社から「過払いしちゃったから〇〇宛に返金してね」ってメールが外注のメーリングサービス経由で送られてきて、「なりすましかよ!」って思った
spfとかdmarcとかで確認もできないし…
Re: (スコア:0)
実際に、なりすましなんだろ。