paypayのクレカの不正利用の原因は総当たり攻撃?ガバガバなセキュリティ




のーそふとばんく(ソフトバンクアンチ猫)
@no_softbank

paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。

paypayで不正利用された皆さん! 原因はpaypayのガバガバセキュリティのせいです!

23:51 – 2018年12月14日

みんなの反応どうでしょう

ゼニがリアるにロスト
@p4sseng3r

まりちゃん!
@mari2chan

みそしる@道産子Vaper in 沼
@miso_soooooop

板谷弘之xりぷる
@XRPholder2017

なるほど。色々と問題ありだったと。

00:07 – 2018年12月17日

keita_s
@hrgr_Kta

のーそふとばんく(ソフトバンクアンチ猫)
@no_softbank

そういやLINE Payはどうなん?と思って登録してみたが、こちらはカード番号・有効期限・セキュリティコード・名義が必要な上に5回間違うとロックが掛かります。paypayのガバガバっぷりがより鮮明になりましたねぇ。

なおLINEに個人情報とかカード情報とか預けるのはアレだなぁとは思います

21:47 – 2018年12月16日

娑婆助
@shabasuke

PayPayはクレカ総あたり連アタで落とせる模様w何時の時代のクラック方法だw

21:08 – 2018年12月16日

まさらっき@日ト41b
@masarakki

カード決済のその辺の入力 普通は事業者のサーバを通さないから事業者がアタックに気づくことは難しいのでは
事業者のサーバ通してたらそっちの方が事案だと思う
paypayくらい大規模だったらやるかもだけど

20:31 – 2018年12月16日







【PR】ⒼⓄⓇⓃ™
@gorn

素晴らしきかな、ガバガバの枠だけのセキュリティ。もはや、笊ですらない。

20:27 – 2018年12月16日

けてもー
@ketemo

1,000回試せばクレカ使い放題になるならそりゃ試すわな。

20:21 – 2018年12月16日

あくら
@akurareva0227

クレカは良く使うけど
こういう事件見ちゃうとやっぱりネット使用は控えちゃうなぁ………

20:04 – 2018年12月16日

KF
@kin2001

あすと
@asuto896

ブルートフォースで破れるセキュリティを金が直接絡むもので使うとか終わってますなぁ

19:09 – 2018年12月16日

Hajime Shimada
@hevo037

このPayPayの有効期限やセキュリティコード入力を入力失敗しても無限に再受付するので総当たりで突破できるセキュリティの大穴、全PayPay決済を止めてでも解決すべきじゃないのか? PayPay運営は認識しているけど放置しますというスタンスなのかね?
https://t.co/lsFw5NDEAm

18:46 – 2018年12月16日

デュオ狐
@duo_kitune

え?これってpaypay使ってない人のクレジットカードを総当りで番号登録出来れば他人に使われちゃうってこと?

ヤバくない?

17:51 – 2018年12月16日

iskw@釣り旅行したい
@i_taka2

コレってPaypayアプリ入れて無くても誰かが手元のPaypayアプリに過去に流出した他人のカード情報登録して使えるという事か…。カード登録時のエラー対策が緩々でカード名義確認も無く、複数paypayアプリに重複登録も可能、そして3桁セキュリティコードも回数制限無く総当たりで突破される?。うぁ…。

16:12 – 2018年12月16日

tokiwa
@tokiwa_angus

頭悪いからリプ欄に書いてあることも理解できてないんだけど、結局、paypayに登録しなきゃいいってこと?

15:35 – 2018年12月16日

オッドアイ
@odd_eye_2

これ?どーいう事?( ・◇・)?

15:14 – 2018年12月16日

たいしょう
@taisyo324

とみみ
@tomimi79

なにそれ
そんなものが存在出来るのか

14:53 – 2018年12月16日

つばきち
@akatsubakij

登録失敗回数に上限設けてないのはセキュリティとしてあかんな。
(ただこの人が発言するとソフトバンクがクソみたいに聞こえるけど、paypayはサービスではなく独立した株式会社なのでソフトバンクに非はないような)

14:38 – 2018年12月16日

寝具突撃部隊
@pinkumohikan

16桁のカード番号、有効期限、3桁のCVCの組み合わせを総当たりで特定するのは現実的ではないかな

部分的に既に漏洩していたカード情報を使って、足りないところ(アリそうなところだろCVC)だけ総当たりで特定したっていうシナリオが現実的っぽい

14:23 – 2018年12月16日

methylone
@methylone

ただ、イシュア側でも、例えば30分以内に10回CVVの照会があったら利用停止にしてホルダーにSMSを送る、とかの対策が必要なのでは
paypayの肩をもつわけじゃないけど

14:07 – 2018年12月16日

STB a.k.a. さとまる
@stb_nissie

ブルートフォースアタックなんだろうな。指導が入るぞコレ。

14:01 – 2018年12月16日

電磁郎博士
@denjirou7

これのやばいところはpaypay登録してようがしてなかろうがクレカ使われるところ
さすがにこれはやばいと思う

12:55 – 2018年12月16日

sonson
@sonson_twit

さっとん
@on_satt

zappy333
@zappy333

PayPayのセキュリティがクソなせいで不正利用のツールになって、非利用者にまで迷惑かけてることはもっと広く知られるべきだと思う。100億円の使い道を間違えているとしか言いようがない。そんな金があるならセキュリティ対策を真剣にやれと。

12:31 – 2018年12月16日

じゃがえむ
@jagaimo_M

ここまでの流れは読めてたんだよなあ

12:24 – 2018年12月16日







ヒマジンDJ
@himazindj0817

裏があり過ぎて草。垢消しも無理らしいし、総当たりプログラム組んだら後は時間の問題的なやつか。ヒェッ…

12:21 – 2018年12月16日

スターマイン
@starmine555

こじ
@LMqkj

これを読んでpaypayのクレジットカード登録を解除。解除方法はとても分かりにくいけど、登録してあるカードを表示して、右隅のゴミ箱をタップで出来ます。

12:09 – 2018年12月16日

k@tsu
@katsuhiko831

int.*
@int_ast

「クレジットカード捨てる」以外に防ぎようがなくてダメだった

11:57 – 2018年12月16日

uNagi
@unagix

これ、PayPay じゃなくてクレカ会社のオーソリシステム側でハネるべきな気がするんだけど・・・

11:55 – 2018年12月16日

もぎたて!もっち
@motchi19

こんな基本的なセキュリティ対策が出来てない筈はないので、わざと穴を作っていると考える方が妥当。

11:43 – 2018年12月16日

パクさん
@tpark313

不正利用されたら何億円もらえるのかな?

11:24 – 2018年12月16日

そうせいじ
@souseiji

カード明細はしっかりチェックしよう

11:10 – 2018年12月16日

hidemas
@kuro_dog

ウィズさん 〜5月から関西〜
@widz_u

被害にあった皆さまは金融庁へ訴えると効果的。(これ系の事業やった時に一番恐れてたのが金融庁指導だった…w)
消費者庁じゃなくて金融庁ね。おぼえておこう。

10:30 – 2018年12月16日

きくねこ
@kikumineko

う、うわ。私も利用明細確認しとこうかな(・_・、)
総当たりなら登録可能なクレジットカード持ってる人、皆危ない(゚o゚;

09:35 – 2018年12月16日

やーさん
@H4MgLl58dBclKO6

話題のpaypay
これが本当なら被害が出そうなのでリツイート

09:22 – 2018年12月16日

高橋けんじヽ(´▽`)ノ
@Q47SM9

凄いな、ブルートフォースアタックっていう一番低レベル故に真っ先に予期すべき手法だ。(サンケイと政府のコンピューターご意見番を努めた那野比古先生の電話回線時代の某著書では、より高度なハッカーの使う手口って書いてあるけどな)

08:26 – 2018年12月16日

がじぇびゅ(Gadgevie)
@_gadgevie

この批判は間違ってる。世間の誤解を招くようなこと言って何がしたいのか

08:14 – 2018年12月16日

@豚熊
@OrePeterPan

対岸の火事なのか、明日は我が身かわからんけど、セキュリティカバカバなのわ、わかったので、とりあえずロボットアニメみたく、衝撃に備えろ!と身をかがめておこう。

07:41 – 2018年12月16日

Ryouchi
@ryouchi

クレジットカード番号知ってれば、有効期限5年x12ヶ月xセキュリティコード3ケタ(1000)=60,000回試行すればいけてしまうな

つか、カード番号と有効期限とセキュリティコードが正しいかどーかのチェックするAPIって、PAYPAYで持ってるものじゃないかもなー

07:39 – 2018年12月16日

Wiz.@FMPSG/打ち込み魂
@WizardOfPSG

…え? 認証失敗時waitと連続失敗ロックは基本のき、じゃないの…? ちょっと信じられない…

07:37 – 2018年12月16日

武田政樹@ご当地VTuber始めますた
@tamanyo

きゃーこわーい( ⊙᎑⊙ )

paypayで踊ったのはお金に目が眩んだ餓鬼様とそれを狙う魑魅魍魎だったって事だねえ・・・(´-ω-`)

04:55 – 2018年12月16日

皐月蒼竜@Alastor
@alastor_blade

質の悪いベンダーも混ざってるからありそうとは思ったな

02:24 – 2018年12月16日

上野 廣
@00nFskHRNb8VGIK

絶対使わないペイペイ平平。

01:47 – 2018年12月16日

詩音(*´∀`)♪
@basamyle_love

怖い((゚Д゚ll))キャッシュバックのキャンペーンで気になってたけど知ったのが最終日だから登録しなくて良かった(>_<)

01:38 – 2018年12月16日

Max/なかね まさふみ
@ma10

これまでカード情報の入力に失敗した経験なんてあんまりないから、複数回失敗した時の挙動なんて知らないけど、他はちゃんとやってたのにPayPayはやってないところを即座に悪用されたってことななのかな。

01:02 – 2018年12月16日

ことり
@kotori_pyon

えー怖い
使ってないのに悪用されるのは御免だよ

00:50 – 2018年12月16日

はまち
@asa877

これはセキュリティホールにしてはデカすぎる。JCB登録できない理由はセキュリティ甘すぎるせいかも。

23:48 – 2018年12月15日

tomaritter
@jinro084

怖くてペイペイ使う気にならない

23:04 – 2018年12月15日

こばさん
@wakwak_koba

paypay の擁護するわけじゃないけど、これはクレカ会社の落ち度だな
同一な加盟店・カード番号から有効期限やセキュリティコードだけ違うリクエストを短時間に何度も受けたら、加盟店+カード番号をキーにロックアウトしないと。

正しい組み合わせかどうかの判定はクレカ会社の持ち分なわけで。

22:34 – 2018年12月15日

よみ
@yomi2201n

takuya@kobe
@takuya_1st

うーん、そもそもクレカがそういうものなのでなんとも

22:19 – 2018年12月15日

Kinoshita Fumichika
@kinofumi

完璧なSoftbank クオリティー!

22:17 – 2018年12月15日

みんな島
@minnajimaai

総当たりを違うことに使って欲しい!

22:17 – 2018年12月15日

もものすけたろう
@H4FDmqg9S397aEe

のーそふとばんくさんが動いたようですね。本当っぽいな!
クレカの確認してみよう。

21:05 – 2018年12月15日

fukuko
@fukuko345

初めからクレカ不正利用をするためのシステムだったのか?とすら思ってしまう…

20:57 – 2018年12月15日

あかり貯金生活@Instagramの中の人
@chokinjp

マイナンバー流出
からのpaypayで眠ってたクレカ使われる。
もう不正使用されるかされないかは
運次第。。

20:50 – 2018年12月15日

さとお。@ぺいぺい。
@gjsatoo

ソフトバンクの通信障害。
paypayの不正利用。

これは後々、ソフトバンク側がハッキングで個人情報が漏れてしまったので、通信障害で一時的に防止したって発表をして、paypayのボーナスが一部のお客様から消えて、不正利用されました。お金補填します。って流れ来そう。

1月10日前後に動く

#陰謀論

20:46 – 2018年12月15日

Cottoncolo
@Cottoncolo

PayPayには登録できません。ってクレジットカード会社が一斉に対応したら面白いのに。

20:30 – 2018年12月15日

taste@12/30 冬コミ2日目 ロ-20a
@MelodicTaste

そういえば先日ビックカメラで3万以上の買い物したんだけど、PayPay支払い時に本人確認一切無かったので運用もガバガバだった…?未曾有の大問題になるんじゃないのこれ…

20:27 – 2018年12月15日

ぱろっと@グロースハック勉強中
@hir0minomushi

これ、怖くなってクレカの利用履歴見てみたら
なんか知らないうちに52,000円くらいつかってるの…
10日前は10,000円くらいだったのに。
少額だから覚えてないしバレないと思われたかな?!

と思ってたら全部自分だった

19:58 – 2018年12月15日

眞壁©︎修養道場
@mkb1618

もともと流出してたナンバーが使われた可能性もあるけれど、なんか必死な人たちいるね。とにかく事件が起きて欲しい様子。

19:49 – 2018年12月15日

わかめごはん
@flankerark

おいおいw
だからpaypay登録してない人まで被害出てるのかよw

19:44 – 2018年12月15日

てぃ~@コミュ障の逆襲~定時にカエル~
@around30monolog

残高200円のデビットカードを紐付けたカエル、高見の見物。

19:32 – 2018年12月15日

森 (JK17)
@02mgc

この仕様が本当ならPayPayヤバ過ぎる。クレカ表面の情報さえあれば、後は1,000回未満のブルートフォースアタックでセキュリティコードをクラック。SMS認証が必要だから最終的にSIM契約の情報で足はつくけど、間もなく出国する外国人にビックカメラでお買い物をさせて・・後はわかりますよね?

19:13 – 2018年12月15日

なる@zozoの回し者と言われた男
@orepenguin1

今すぐクレジットカード利用履歴の確認を!
総当たりで登録出来るなら運だけだわ。
スキミングとかではなく、原始的な方法で不正利用が可能な仕組みってことか。

19:08 – 2018年12月15日

そら。
@04sora40

落とし穴ありそうと思ってたら予想以上だった(白目)
どうすんのコレ…?

19:00 – 2018年12月15日

逢坂 憲吾 Kengo Osaka
@Kengo_Osaka

ぺいぺいで不正利用発生してるの…?

18:09 – 2018年12月15日

sige
@VBINXRHLEZOQls0

kiriya2369
@kiriya2369

登録するときに随分雑…と思ったけど、総当たりで行けちゃうのやばいな。

18:05 – 2018年12月15日

ミドノン
@LearnMidonon

スーパーへのへのもへじから滲み出るたらこ
@std_k_h_z

本当だとしたら、paypayインストールしてるしてない関わらず全てのクレカ所持者が対象ってことか。

18:00 – 2018年12月15日

春眠 (`・ω・)
@tskjkei

(;´∀`)
さすがにそんな事ないよね・・・?
嘘でしょ・・・?
マジ?

17:56 – 2018年12月15日

Masa
@masato09675366

こうゆう問題を事前に防ぐためにpaytm(インドで先行してる決済システム)と連携していると思ってたけど、そういう訳では無かったのか??(内部の人しかわからん事情があるんでしょうが。。)

17:44 – 2018年12月15日

ネッコ
@nekko_crypto

これもしかして持ってるカード全部確認しないといけないパターンなのかな???
めんどくさぁー

17:23 – 2018年12月15日

GoxHiroshi28
@hirosheenamachi

ちゃんかつ
@kattsun01

なにこれ、やばない??笑

16:38 – 2018年12月15日

さぼ@ギークハウス沖縄
@saboyutaka

からあげ/一級在宅士
@karaagedaz

セキュリティガバガバのとこはやがて破滅すると、シェアハウスでシュークリーム食われた時に確信した。

16:07 – 2018年12月15日

なまにぃ
@NamaKnee

カード会社側で止めるべきところな気がするが……

15:51 – 2018年12月15日

黒描@VALU
@blackkittcat

クレジットマスターでの総当たりとして、16桁中のブランドコード、会社コード等を除いて10桁
有効期限を5年見て5×12で60
セキュリティコード3桁
この組み合わせを総当たりさせればいけるからロックをかけないとすればカード番号すら盗む必要なしか(・∀・)ガバガバだなw

15:40 – 2018年12月15日

裕至
@gunrou

ほ、ほんとうなのか…?!

15:38 – 2018年12月15日

CryptoBOZE
@ndboze

えええ。。。間違ってもロックされないのか

15:09 – 2018年12月15日

Chack’n
@Chackn

これが原因だとしたら、PayPay利用していないカードでも被害が出る可能性があるということだよなぁ

15:08 – 2018年12月15日

たっくん(ぐぴー教徒)
@takuv0_0v

これはあれか、俺のが不正利用されてないのは運が良かっただけか

15:03 – 2018年12月15日

SatoNaka
@satonaka_jp

ガチガチにセキュリティを追求してたらいつの間にか「暗号通貨最高やん」にたどり着くとかそういう展開あるか?

14:44 – 2018年12月15日

runner
@runnershighhide

あら。ロックかからないなら機械的に試せばいつかは正解にたどり着く。ペイペイやばいな

14:36 – 2018年12月15日

かのん@中身はおっさん
@NA5GGYbQ9Nm0iLm

信濃鉄道999
@ShinanoRail999

これホントpaypayは早急に対策トレよ

14:19 – 2018年12月15日

食のじろー@てのひら
@jiro724

ぺいぺいチャレンジ、乗り遅れたけどよかったやつなんかな?

14:09 – 2018年12月15日

ぴろし/dora
@pirox_07

シュレディンガーの箱
@nhosoe1

単にpaypayの不正使用に限らず、これでカード情報を割り出して、他の決裁にも使えちゃう訳よね 🙁

13:37 – 2018年12月15日

Masayuki
@xem_love

セキュリティコード意味無いやん、、

13:32 – 2018年12月15日

@ryo0301
@ryo0301

自分のカードを登録すれば不正利用を防げますよーっていうマーケティングの一環だと思う

13:17 – 2018年12月15日


この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

記事一覧