パスワードを忘れた? アカウント作成
16629655 story
セキュリティ

他人のTポイントカードを乗っ取れる脆弱性が放置されている 32

ストーリー by nagazou
脆弱性 部門より
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • この話と関係あるのか知らないけど、
    以前なら半年以上再ログインしなくてよかったのに、
    最近ウェルシアのアプリでTポイントもらえるくじを引こうとすると、たった数日で再ログインしろと表示されまくってる。
    おかげでめんどくさくなってウェルシアとTポイント使える店にも行かなくなった。
    この仕様を変えた開発者は企業の収入が減った件で責任取れよな。

    • by Anonymous Coward

      同じく。
      しかも電話をかける認証が必要で、レジでちょっと待ってごめんねってレベルじゃ済まないんだよね。

    • by Anonymous Coward

      DISCASなんてたくさんレンタルするとその度に認証求めてきて、
      何度も認証すると回数制限に引っかかってレンタル出来なくなるというアホ仕様。
      (TカードとYahoo連携させてるので、YahooのSMS認証)

    • by Anonymous Coward

      iPhoneのSafariでストレージが強制クリアされるようになっただけとか。
      使ってないから知らんけど。

  • by Anonymous Coward on 2023年05月30日 13時41分 (#4468569)

    オスティアリーズの問題じゃないの?

    • by Anonymous Coward

      オスティアリーズのサービスを使っているから関係おおありでしょう。

      • by Anonymous Coward

        脆弱性が見つかった時点で関連機能を止めるべきだよね。
        といってもオスティアリーズの隠蔽していた脆弱性ってのがググっても出てこんな。

    • by Anonymous Coward
      そうだよ?
      元の増田にもTカード関係ないけど耳目を集めるためにTカードの脆弱性ってタイトルにしたって書いてあるじゃん
      • Re:Tカード関係なくない? (スコア:3, おもしろおかしい)

        by Anonymous Coward on 2023年05月30日 16時25分 (#4468688)

        どこに増田社長の話が出てくるの?

        親コメント
        • by Anonymous Coward

          https://nlab.itmedia.co.jp/nl/articles/1801/19/news060.html [itmedia.co.jp]

          増田とは、はてなが運営しているサービスのひとつである「はてな匿名ダイアリー」そのもの、あるいははてな匿名ダイアリーのユーザーのことを指します。増田という呼び名の由来は、はてな匿名ダイアリーの英語表記である「アノニ“マスダ”イアリー(Anonymous Diary)」から。

          • by Anonymous Coward

            オー… 無知を晒してしまった。thx.

            • by Anonymous Coward

              逆に自分はツタヤの社長が増田氏であることを初めて知ったよ。

    • by Anonymous Coward

      Tカードって購入金額に応じてしょうもない量のポイントを取得できるサービスなんだけど、認証しようとするだけでストーリーの通り有料で電話を掛けないといけない。
      つまり状況によってはポイントをためる意味がないほど電話料金を支払わないといけないわけだ。
      目的が上記の状況を回避するためTカードの電話による認証を潰すというところにあるのでTカードは関係ありまくりなのだ。

  • by Anonymous Coward on 2023年05月30日 14時08分 (#4468591)

    まず疑問なのが、記載の080から始まる電話番号は本当に「ありえない電話番号」なの?
    それならせめて0が8個ならぶ番号とか、あるいは、Tポイントに登録できる番号は携帯電話に限らないみたいだから、
    例えば、警視庁の代表電話番号(警視庁のウェブサイトに行くと最下部に書いてある)とか、
    099から始まる番号(090始まりならあっても099は「ありえない」)みたいな、もっと明らかな「ありえない電話番号」でやってみせるべきだ。

    1から8までが順番に並んでいない点で、微妙に惜しい番号でもあるし。
    本当にその電話番号を持っているという可能性が除外できないと思う。

    しかし一方で、そんなウソの脆弱性告発をするメリットも皆無なのは確か。

    • by Anonymous Coward on 2023年05月30日 16時36分 (#4468696)

      IPAに拒否された理由というのも不思議な感じです。
      違法にアカウントを乗っ取られる脆弱性の再現手段が法的にリスクがあるから拒否って矛盾していると言うか。
      IPAがこんなケースで報告を受理すらしないって有り得るんでしょうか?
      受理だけして一向に進展がないから~って言うなら分かりますが。

      親コメント
      • by Anonymous Coward

        日本の組織って、こういう個人からの通報は無視する傾向がある気がする。
        これがインターネットセキュリティー関連企業からの通報だとすぐ対応するんだろうけど、
        個人だと逆にハッカー扱いして訴えるぞみたいな脅してくるケースもあるし。
        まだ被害が出てないんだからいいじゃん的な感じなのかな。

    • by Anonymous Coward
      沖縄の市外局番が098なので099はなさそうに思えますが、鹿児島が099です
      市外局番が割り振られた当時、沖縄はアメリカの占領下で日本の南端は鹿児島だったからとか
      • by Anonymous Coward

        失礼。099はあったのね。
        結局、一見ありえない電話番号に見えても「ありうる」わけだから、
        「ありえない電話番号で登録して認証突破しました!」って言われてもなかなか信じがたいということだ。
        あとは000-0000-0000ぐらい?そういう番号は最初から登録できないようになっている可能性もある。

    • by Anonymous Coward

      試しに電話してみたら、「番号は使われていません」ではなくて、通話中だったぞ。
      他にも何人か電話してるんじゃないのか?
      迷惑かかるから電話するなよ!

    • by Anonymous Coward

      本当にその電話番号を持っているという可能性が除外できないと思う。

      こっちに賭けとこうかな。というかここの粗さで信憑性評価が落ちる。

  • by Anonymous Coward on 2023年05月30日 14時47分 (#4468618)

    ナビダイヤルに掛けさせるって結構抵抗ある人はいると思うんだけど、なんでこんな異質なやり方してんの?
    キックバックで稼ぐ目的?

    • by Anonymous Coward

      動画をみてみるとわかるけど、電話認証でかけるように言われる番号は050番から始まる番号だよ。
      かけた先(この050番)が電話に出なくても、かけてきた発信元番号は(非通知でなければ)わかるので、確かに理論上は認証として利用可能に思える。
      SMSを送ったりする方法に比べれば、050IP電話は安く番号を持てるサービスもあり、他はかかってきた電話番号を認識する装置があればよいので、安上がりなのかもしれない。

      • by Anonymous Coward

        Tカード認証ダイヤルって、少し前までは0570 [google.co.jp]だったけど最近は変わってるのかな?
        と思ってTポイントアプリで試してみたらフリーダイヤル(0800)だった。

        Tカード番号+生年月日でも認証できるので使った事ないけど。

  • by Anonymous Coward on 2023年05月30日 19時04分 (#4468801)

    現時点でGoogle Mapでは最高の5のみで2つのアカウントから評価されている

    • by Anonymous Coward

      うちもだがBtoBの中小企業なんてキチガイとの遭遇率が低いからそんなもんだ。

    • by Anonymous Coward

      ウィキペディアの記事の履歴 [wikipedia.org]もこの記事しか編集してない、関係者しか編集してなさそう
      毎回思うけど関係者なのに自社の説明もできないってのはなんなのかなあ

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...