hayakawaによる
2009年01月22日 11時12分の掲載
「業界最先端の暗号化」っていったい何?部門より。
「業界最先端の暗号化」っていったい何?部門より。
insiderman 曰く、
USA TodayやInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systemsが「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。
Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。
補足 (スコア:5, 参考になる)
日本語関連記事もでてますね。
公式発表では「買い物の情報、社会保障番号、暗証番号(PIN)、住所、電話番号は流出していない」といっているだけで、何が流出したのかを名言していないのですが、NewYork Times [nytimes.com]の取材によると「カード番号、有効期限、カード所有者の名前の一部が流出」した可能性がある、ということだそうで。流出した件数も公式には発表されていないようです。
コメントを書く
漏れた可能性があると再発行されたカード番号 (スコア:4, 興味深い)
アメリカのカードなのですが、「番号が漏れた可能性がある」と、新しいカードが送られてきたことがあります。
ただ、そのカード番号、下2桁が違ってただけなのです。
もちろん最後の桁はチェックデジットなわけで・・・・。
所詮その程度のセキュリティなわけですわ。
NYの日系ホステルでは、予約のフォームに、カード番号と、裏のセキュリティコード、パスポート番号と、
これでもかという個人情報を洗いざらい非HTTPSのフォームに書かされました。
これも普通の人は気にせずホイホイ書き込んじゃうんでしょうね。(って私も結局書き込みましたが。
しょめい。
コメントを書く
Re:漏れた可能性があると再発行されたカード番号 (スコア:2, 興味深い)
以前、「カード番号不正利用 → 再発行 → 一ヵ月後にカード紛失 → 再発行」をしたことがありますが、チェックデジットの前の番号が8→9→0とカウントアップしました。チェックデジットのほうはカウントダウンしていたような。
みながみな再発行しまくるわけではないと思いますが、最後の一桁って意外と予備にしているのだなぁと感心したことがあります。
コメントを書く
親コメント
ようするに (スコア:3, すばらしい洞察)
いくら技術が進もうと、いくら強固になろうと、本質を理解してどこが守るべきものなのかを人間が理解しないと、いつまでたってもダダ漏れですな。むしろ最近は技術の進歩の中で
進歩した技術 = もう安心
みたいな思考停止パターンが多いですよね。はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。
コメントを書く
Re:時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている (スコア:2, おもしろおかしい)
>はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。
うーん…似たようなフレーズを、さっきも読んだ気がする…どこだっけ…?
ああ、あった、これだこれだ [wiredvision.jp]
コメントを書く
親コメント
「業界最先端の暗号化」 (スコア:1)
結局は枯れた技術のほうがいいってことか…:p
#ACは価値ある発言してください
コメントを書く
クレジットカードってそういうもの (スコア:1)
クレジットカードって、もともとノーガード、損害は保険でカバーって設計。
別にクレジットカード番号や、有効期間、氏名が漏れたって問題ない。
もともとこれらはクレジットカードを使う時に公開する情報なんだし、
クレジット利用者はこの程度の漏えいは問題にしないでしょう。
コメントを書く
とんだ抜け穴だ (スコア:1)
社外取引企業とのやり取りには暗号化していなかったでOK?
ユーザー→SSL→販売業者→非暗号→カード会社
間抜けすぎますな。
日本のカード会社では同様のことがない事を願いたい。
コメントを書く
Snifferでって、あんた。。。。 (スコア:1)
どこでキャプチャしたんだよ。
物理的なセキュリティもっとちゃんとしろって感じ。
--- show mpls ldp neighbor
コメントを書く
Re:Snifferでって、あんた。。。。 (スコア:2)
恐らく、専用回線を使っていて、モデム間の有線部分でしかけられたのでしょうね。
専用回線を使っていて平文のまま垂れ流しているシステムは結構あるのではないでしょうか。
内部に共犯者がいれば簡単に装置をしかけれるでしょうね。
数千本の電線から数十本の電線に判別対象数が下がるし、タグでも付いていれば一目了然だし。
コメントを書く
親コメント
Re:アレと一緒 (スコア:1, おもしろおかしい)
Pマーク
ISMS
ISO
コメントを書く
親コメント
Re:アレと一緒 (スコア:5, すばらしい洞察)
認証受けるのが大変ってのは間違いでは無いけれど、
認証受けたからといって従業員すべてがその意図をきっちり理解して
実践しているかどうかと言うことと、認証を無事受けられたこととは
また違う次元(ってか時期?)の話なので、一般の人の認識は完全に
間違いとは言い切れないのもまた事実。
多分。
コメントを書く
親コメント
Re:アレと一緒 (スコア:3, すばらしい洞察)
> お前らが思っている以上に認証受けるの大変なんだぞ?
以前、当時の勤め先で主要な取引先から取る様に言われ、
取得に要する諸々を調べる様に指示があったのですが、
「認証受けるの大変」には同意します。
しかし、そこで求められた事が目的に対し実効性があるとは思いません。
ちなみに、その「主要な取引先」は、
Pマーク取得後にPマークが求める要件を満たさない管理運用で個人情報を漏洩し、
Web上でも「認証取り消した方がPマークの信用性を守れるんじゃね?」
等と言われていましたが、結局取り消されませんでした。
コメントを書く
親コメント
Re:アレと一緒 (スコア:1)
# や、手足届かんだろ。jk
## 運転してんのかよ!
### 運転手の知能は赤ん坊なみかもしれんが。
コメントを書く
親コメント
Re:アレと一緒 (スコア:1)
登場人物は嘘をつかないとは書いてないでしょ。
コメントを書く
親コメント
Re:もしかしてこいつか (スコア:2, 参考になる)
通常、決済は品物を発送した後です。
その場で行うのはオーソリ(与信確認)です。
# アマゾンがオーソリを後回しにしていても驚きませんけど
notice : I ignore an anonymous contribution.
コメントを書く
親コメント