Faith と TWOTOP の顧客情報が流出 50
ストーリー by reo
久々にでかいのキタ 部門より
久々にでかいのキタ 部門より
ある Anonymous Coward 曰く、
ユニットコムが運営する PC 通販サイト「Faith」の顧客情報 7 万 4 千件、および Faith と顧客データベースを統合中だった TWOTOP の顧客情報が 18 万件、流出したとのこと (ITmedia News の記事、ユニットコムのプレスリリースより) 。
2008 年 6 月 26 日から 2010 年 8 月 17 日の間に「フェイスインターネットショップ」で商品を購入した顧客のクレジットカード番号とクレジットカード有効期限、および、1999 年 6 月 29 日から 2008 年 9 月 10 日の間に「ツートップインターネットショップ」へ会員登録した顧客のログイン ID とパスワードの一部が流出した。情報流出の可能性のある顧客へ郵送とメールを使って連絡を開始、また、専用窓口も開設されています。
パスワードは生の文字列 (スコア:4, 参考になる)
TWOTOPを利用していましたが、昨日メールで案内が送られてきました。
電話窓口に問い合わせると、パスワードはハッシュではなく生の文字列が保存されておりそれが漏洩したいうことでした。
もし同じパスワードを使いまわしている方があれば早急に変更しましょう。
Re:パスワードは生の文字列 (スコア:1)
Faith会員ですが、今のところ2010/09/29 01:22時点で、案内は届いていません。
漏洩範囲外だったのかな?
#クレジットカードの年収登録が、たぶんバイト生活当時のままだけどIDで
#月額利用限度10万円制限です。^p^
#壮大なストーリ。空転するアイディア。
Re: (スコア:0)
今年の2月と6月に使用しましたが、メールが来てないのはクレカの情報を保存してなかったからでしょうかね
……そういうオプションありましたよね?(覚えてない)
これを機に過去利用した通販サイトのアカウントでも掃除しておきますか
パソコン工房は無事なのね (スコア:3, 興味深い)
ユニットコムのグループ内で、パソコン工房と、TWOTOP&フェイスとで
サーバを統合していなかったのが幸いしたようだね。
Re: (スコア:0)
パソコン工房で買ったことがあるんでひやっとした。
しかし後になって「実は」とかあったりして……
Re: (スコア:0)
逆に言えばこの教訓からユニットコム全体のセキュリティが強化される可能性が高くなるから結果オーライだと思っておけばいいんじゃないかな。
#それもやっぱり実は…があったりして。
Re: (スコア:0)
パソコン工房って、カード番号とか記録してるのかな。
以前買ったとき、ユーザ登録とかした記憶も記録もないんだけど。
日常だな。 (スコア:2)
「電車が遅延しております」くらいの感じだ。
自分が巻き込まれそうなのも日常ぽい。
断定はできませんが (スコア:1, 興味深い)
最近、自分のカードが不正利用されたのでは?とカード会社から連絡がありました。
身に覚えのない利用項目があったので、不正利用の処置をしてもらっているところです。
みなさんもこまめに利用明細はチェックしましょう。
Re:断定はできませんが (スコア:1)
うちもです。。
意外と広範にやられてるかもしれませんね
Re:断定はできませんが (スコア:2)
今日、飲食店での会計時に使えなかったので、問い合わせたら不正利用があったため止めたとのこと。
ギリギリ現金持ってたのでなんとかなりましたが・・・
恥かいたわ・・・
まだまだ気は抜けません。
利用したことのある方は引き続きご注意を。
現金を多めに持ち歩くことをおすすめしますw
時代にあったシステム求む (スコア:1, 興味深い)
とりあえず、カード会社に金額を申請すると「適当なカード番号+所有者名がワンタイムID&パスワードをエンコードした文字列」な、申請金額までしか使えないワンタイムカード情報が発行さる、みたいな実装なら、カード会社のシステムをがんばって作るだけで実装出来ると思うんだけど、やってくれないものか。
ワンタイムデビットはどうですか? (スコア:2, 参考になる)
VISAとジャパンネット、ネット専用「ワンタイムデビット」説明会 -INTERNET Watch [impress.co.jp]
また、カードごとに限度額の設定もできる [japannetbank.co.jp]ようです。この仕組みならかなり安全に使えそうな気がします。
# といいつつ使ったことのないJNB会員なのでAC
Re: (スコア:0)
そういう面倒くさいものが普及するかどうかが最大の課題ですね。
現実は銀行やカード会社への申請どころか、ショッピングサイトへの番号の入力すら面倒くさい、
潜在的な危険性よりも今この瞬間のひと手間が惜しい、そんな顧客が殆どです。
Re:ワンタイムデビットはどうですか? (スコア:1)
ブラウザに登録して特定のストアと取引する場合なら別ですけど
それ以外のパターンでは、むしろ便利になるんじゃないですかね?
財布・カード探す手間より、クレカサイトにログイン・クレカ番号発行の方が手数は多いけど、お手軽に感じるなぁ
外で買い物をする場合には、番号自体を使うことは希ですし、
番号が刻印されていないVisa Touch・iD専用カードを使った方が多少は安全かも…
少なくても、そのカードを拾って、ネットショップで買い物することはなくなると思います
(無刻印カードを使うメリットはそれぐらいしかないけど…)
Re: (スコア:0)
アマゾン、「Amazon PayPhrase」を公開--フレーズと暗証コードで決済可能に
http://japan.cnet.com/news/media/story/0,2000056023,20402660,00.htm [cnet.com]
Re: (スコア:0)
その申請に必要な情報が盗まれて使われるだけですね。
オンライン本人認証は永遠の課題。
Re:時代にあったシステム求む (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
クレジットカードはそういうシステムですからねぇ。
デビット専用のVISA ELECTRONとかMaestroのような決済システムがあればいいんですが、日本じゃどこも構築する気がないし。
Re:時代にあったシステム求む (スコア:1)
かつて、Secure Electronic Transaction という規格があってですね……
Re:時代にあったシステム求む (スコア:2)
技術的に安全でも普及しなければ…
# はっ、それってPKI自身の事では
Re: (スコア:0)
Re: (スコア:0)
理想からは程遠いけど、とりあえずPaypalとかは?
そこかしこにばら撒くよりはまだマシかも。
みんな流出対策はどうしてます? (スコア:1, 興味深い)
悪意ある内部/外部の人間による犯罪行為もありえますから、
どんな会社のどんなサービスであっても情報流出の可能性がつきまといます。
わたしは、
1. パスワードが漏れると致命的なダメージを受けるもの
(メールが読み書きできる、カード/口座情報にアクセスできる)
・パスワード:アカウントごとに違うもの。メモせず覚えておく。
2. パスワードが漏れても許容可能なダメージで済むもの
(住所氏名電話番号メールアドレスなどが登録してある)
・パスワード:アカウントごとに違うもの。自動生成した複雑なもの。メモしておく。
3. パスワードが漏れても問題ないもの
(住所氏名電話番号メールアドレスなどを登録していない)
・パスワード:共通かつ簡単なもの。
といった区分をしてパスワード管理をしています。
また、ネットショッピングサイトについてはカード情報は記憶させない設定とし、
2 番のサイトとして扱っています。
みなさんは情報流出対策ってどうしてますか?
Re:みんな流出対策はどうしてます? (スコア:1)
普通にパスワード管理ソフト使ってますね。
パスワード自体は自動生成サイトで作成
#パスワード管理ソフトのパスワードがパスワード管理ソフトの中に!
Re:みんな流出対策はどうしてます? (スコア:1)
カードを使い分けて、 ライフライン専用の信用できる相手にしか使わない&情報を預けないカード、信用できそうなサイトに登録しておくカード、いざとなったら止めるなり解約するなりすればいい海外含めた初見通販サイト専用カード、みたいな感じで。
それなりに注意していれば不正利用されても保障・保険でまかなえるだろう→最悪時の手間を減らそう、みたいな意識です。
大企業ほど管理は安心できるだろうという幻想的な前提に基づいてるので意味があるのかどうか微妙ですが。
Re: (スコア:0)
4つのパスワードを用意しています(暗記する)。
アカウントは1つに統一してメモはしません(ハンドルネーム)。
アカウントが変更できないサービスや文字制限がある場合は、PC内にメモをしています。
パスワードには、それぞれレベル付けをしています。
Lv.4 捨てパス 流出・悪用されてもいいパスワード
例) ネットショップ、1度しか使わないサービスや通販など
Lv.3 汎用パス 日常的に使うパスワード
例) メール、google、Amazon、yahooなど
Lv.2 管理パス 管理に使うパスワード
例) PCのログイン、お家サーバのパスワードな
Re: (スコア:0)
脳の記憶だけなのはログインパスワードと携帯、キャッシュカード、クレジットカードなどの暗証番号。
それ以外は記憶させてしまっているけど、パスワードはすべてランダム生成。
いくつかの紛失するとまずいパスワードはパスワード+何のパスワードなのかのヒントを記して携帯にロックして保存してる。
いくつかのサイトはパスワード漏れるとまずいんだけど、ブラウザ記憶はフィッシング対策になるかなと思っていて、クレジットカードの入力もなるべくしたくないから記憶させている。但しそれはamazonだけで、amazon以外でどうしても買いたい時は基本代引きか振込にしてる。
ネットバンキングはしてなくて、漏れてまずいのはキャッシュカード会社のサイトとamazon、レンサバ、メールのパスワードか。
しかし、どれも何とかなるといえば何とかなる気がする(amazonだけはオフラインで手続できるのか知らない)。
Re: (スコア:0)
俺の情報流出対策 : 俺の情報管理の方法を人に教えないこと。
Re: (スコア:0)
暗号化方法は独自実装だから安全!ってのたまってる暗号化ソフトみたいな手法ですね。
またSQLインジェクション? (スコア:0)
ソースはないが、そんなかほりがプンプンするな。
メール検索したら2007年だったからセーフ (スコア:0)
Re:メール検索したら2007年だったからセーフ (スコア:1)
クレジットカードの有効期限が切れていても安心は出来ません。
新カード発行だとカード番号そのままとなります。
有効期限のみ5年なり3年なり先の日付とすれば情報をそのまま使えます。
裏面のセキュリティーコードは新カード発行時に変更される気もするので、
セキュリティコード入力を求めるサイトなら安全かもしれませんが。
Re: (スコア:0)
Re: (スコア:0)
洗替処理すれば、同じ番号なら問題なし!
google先生で検索するとNTTデータもサービスやってます(ので日本では怪しい処理ではないらしい)。
一度も金払っていないBiglobeから「カード番号が無効だから登録しなおせ」手紙が来てびびったことがある(登録カードが紛失で番号変わったから)。あと、先日契約名を思い出すためにログインした@niftyも洗替して新期限が勝手に登録されていた。
与信情報 (スコア:0)
以前ネット決済システムの仕事したとこがありますが、カードNoとかの与信情報って
入力情報をそのまま決済システムに引き渡して、店舗(会社)側では保存しないようになっていました。
「下手に持ってて漏らしたりしたらシャレにならないからな~」と納得していました。
与信情報が漏れたって事は、与信情報を社内で保存してたって事ですよね。
何に使うつもりだったのだろうと気になります。
Re:与信情報 (スコア:4, 興味深い)
10年位前にそういうシステムをパッケージ+カスタマイズで購入したことがありますが
カスタマイズ要件に
「クレジットカード番号をストレージ内に保存するときは必ず暗号化されていること」
を条件にしました。
納品されてサービス開始してしばらく経って、ふと思いついてサーバ内をgrepしたところ
カード番号、有効期限、ローマ字の名前、CAFISサーバから貰った承認番号の全てが平文
で書かれているテキストを発見しました。システム納品をした業者は「これは決済ログで
これがないと決済エラーのトラブルシュートが出来ない」とのたまりましたが、平文で
ある必要性は全く無いので無償で全改修させました。
必ずしもSQLインジェクションだけが問題なわけではないです。
みなさんもこういう課金システムを購入したときは、きちんとセキュリティ監査をして
もらった方が良いと思います。
Re:与信情報(無粋なもの-1) (スコア:1, すばらしい洞察)
>納品されてサービス開始してしばらく経って
受け入れ試験もしくは検収では何をやっていたのかと・・・
Re: (スコア:0)
正論ですが、「受け入れ試験もしくは検収」が終わったら、まったく検証しないよりはましだと思います。
Re:与信情報 (スコア:2)
2回目以降の買い物で、ユーザが同じカード番号を入力する手間を省くためとか?
Re:与信情報 (スコア:3, 参考になる)
> 2回目以降の買い物で、ユーザが同じカード番号を入力する手間を省くためとか?
そこそこ大きめの決済代行会社であれば、決済代行会社側のシステムにカード番号を登録する機能を持ってますから、
それを使えばショップ側でカード番号をもたなくても、カード番号入力省略の機能をもたせることは可能です。
各社で仕様は全然違いますが、大体は
『決済代行会社に登録したカード番号ないし与信用トークンを引っ張ってくるためのキーをショップ側システムに持っておく』
的な仕組みになってます。
ただ、決済代行会社のシステムへの1要求ごとに課金されるので、ショップ側システムにカード番号を保持するよりはお金がかかりますけどね。
# Faithの通販はカード番号記憶できるんだっけ…?
Re:与信情報 (スコア:2, 興味深い)
決済部分を作ったことがありますが、
会員テーブル 1 --- 0..* 決済ログテーブル
みたいなかんじで決済ログにカード番号も保存しろという要望でした。
特にこれといった目的ではなく、とりあえず保存しておけ、的なかんじでした。
口を出そうかと思いましたが、パスワードが平文で保存されてたりしたので諦めました。
#絶対AC
Re: (スコア:0)
ジャーナルデータと同じ扱いだったりしないですかね?
平文のまま扱う必要はありませんが
基本的にジャーナルデータには、いつ、なにを、いくつかって、いくらをどう決済したかが
記録されているものだと思います。
ジャーナルデータ <==> 電子的に保存されたレシートですから。
Re: (スコア:0)
カード番号を自前で保持して処理するのと、
決済会社に押しつけるのではだいぶコストが違う
というのはご存じないのだろうな。
Re: (スコア:0)
#1831443のACです
決済会社に払うコスト>与信情報を漏洩する(≒会社が破綻する)リスク
であればその通りだと思います。
小心者の自分にはとてもそんな提案はできません。
# 「カード番号を登録すれば毎回入力する手間が省けます」所になんて絶対登録したくない
Re: (スコア:0)
買い物ができるようにとか、そういうときでしょうね。
逆に言えば、そういう仕組みのところはカード情報を残している、と。
逆名寄せ的な (スコア:0)
考えてみれば当たり前なんだけど、被害のあったカード群から特徴的な事項を検出したり、たぶん、それを不正利用の推定にもフィードバックしたりしてるんだろうな。不正利用の推定もそうだけど、改めてIT社会って凄いし怖いって思った。
Re: (スコア:0)
カード会社にいかに損をさせないかが中心で、不正利用そのものを利用者や
販売業者のために減らそうとしている点ではないこと。
結局は不正利用を防ぐことが誰にとっても得になるけど、カード会社にとって
損害の少ない不正はやっぱり見落としやすいし、対応も遅め。
ふざけるな! (スコア:0)