paypayのクレカの不正利用の原因は総当たり攻撃?ガバガバなセキュリティ
のーそふとばんく(ソフトバンクアンチ猫)@no_softbank
paypay、有効期限とセキュリティコードを何度も数字変えて間違ってもロックなんて掛からんな。「クレジットカードの登録に失敗しました」がその度に出るだけ。これ総当たりで登録したので確定でいいと思う。
paypayで不正利用された皆さん! 原因はpaypayのガバガバセキュリティのせいです!
みんなの反応どうでしょう
のーそふとばんく(ソフトバンクアンチ猫)@no_softbank
そういやLINE Payはどうなん?と思って登録してみたが、こちらはカード番号・有効期限・セキュリティコード・名義が必要な上に5回間違うとロックが掛かります。paypayのガバガバっぷりがより鮮明になりましたねぇ。
なおLINEに個人情報とかカード情報とか預けるのはアレだなぁとは思います
カード決済のその辺の入力 普通は事業者のサーバを通さないから事業者がアタックに気づくことは難しいのでは
事業者のサーバ通してたらそっちの方が事案だと思う
paypayくらい大規模だったらやるかもだけど
このPayPayの有効期限やセキュリティコード入力を入力失敗しても無限に再受付するので総当たりで突破できるセキュリティの大穴、全PayPay決済を止めてでも解決すべきじゃないのか? PayPay運営は認識しているけど放置しますというスタンスなのかね?
https://t.co/lsFw5NDEAm
コレってPaypayアプリ入れて無くても誰かが手元のPaypayアプリに過去に流出した他人のカード情報登録して使えるという事か…。カード登録時のエラー対策が緩々でカード名義確認も無く、複数paypayアプリに重複登録も可能、そして3桁セキュリティコードも回数制限無く総当たりで突破される?。うぁ…。
登録失敗回数に上限設けてないのはセキュリティとしてあかんな。
(ただこの人が発言するとソフトバンクがクソみたいに聞こえるけど、paypayはサービスではなく独立した株式会社なのでソフトバンクに非はないような)
16桁のカード番号、有効期限、3桁のCVCの組み合わせを総当たりで特定するのは現実的ではないかな
部分的に既に漏洩していたカード情報を使って、足りないところ(アリそうなところだろCVC)だけ総当たりで特定したっていうシナリオが現実的っぽい
ただ、イシュア側でも、例えば30分以内に10回CVVの照会があったら利用停止にしてホルダーにSMSを送る、とかの対策が必要なのでは
paypayの肩をもつわけじゃないけど
PayPayのセキュリティがクソなせいで不正利用のツールになって、非利用者にまで迷惑かけてることはもっと広く知られるべきだと思う。100億円の使い道を間違えているとしか言いようがない。そんな金があるならセキュリティ対策を真剣にやれと。
これを読んでpaypayのクレジットカード登録を解除。解除方法はとても分かりにくいけど、登録してあるカードを表示して、右隅のゴミ箱をタップで出来ます。
被害にあった皆さまは金融庁へ訴えると効果的。(これ系の事業やった時に一番恐れてたのが金融庁指導だった…w)
消費者庁じゃなくて金融庁ね。おぼえておこう。
凄いな、ブルートフォースアタックっていう一番低レベル故に真っ先に予期すべき手法だ。(サンケイと政府のコンピューターご意見番を努めた那野比古先生の電話回線時代の某著書では、より高度なハッカーの使う手口って書いてあるけどな)
対岸の火事なのか、明日は我が身かわからんけど、セキュリティカバカバなのわ、わかったので、とりあえずロボットアニメみたく、衝撃に備えろ!と身をかがめておこう。
クレジットカード番号知ってれば、有効期限5年x12ヶ月xセキュリティコード3ケタ(1000)=60,000回試行すればいけてしまうな
つか、カード番号と有効期限とセキュリティコードが正しいかどーかのチェックするAPIって、PAYPAYで持ってるものじゃないかもなー
きゃーこわーい( ⊙᎑⊙ )
paypayで踊ったのはお金に目が眩んだ餓鬼様とそれを狙う魑魅魍魎だったって事だねえ・・・(´-ω-`)
これまでカード情報の入力に失敗した経験なんてあんまりないから、複数回失敗した時の挙動なんて知らないけど、他はちゃんとやってたのにPayPayはやってないところを即座に悪用されたってことななのかな。
paypay の擁護するわけじゃないけど、これはクレカ会社の落ち度だな
同一な加盟店・カード番号から有効期限やセキュリティコードだけ違うリクエストを短時間に何度も受けたら、加盟店+カード番号をキーにロックアウトしないと。
正しい組み合わせかどうかの判定はクレカ会社の持ち分なわけで。
ソフトバンクの通信障害。
paypayの不正利用。
これは後々、ソフトバンク側がハッキングで個人情報が漏れてしまったので、通信障害で一時的に防止したって発表をして、paypayのボーナスが一部のお客様から消えて、不正利用されました。お金補填します。って流れ来そう。
1月10日前後に動く
taste@12/30 冬コミ2日目 ロ-20a@MelodicTaste
そういえば先日ビックカメラで3万以上の買い物したんだけど、PayPay支払い時に本人確認一切無かったので運用もガバガバだった…?未曾有の大問題になるんじゃないのこれ…
これ、怖くなってクレカの利用履歴見てみたら
なんか知らないうちに52,000円くらいつかってるの…
10日前は10,000円くらいだったのに。
少額だから覚えてないしバレないと思われたかな?!
と思ってたら全部自分だった
この仕様が本当ならPayPayヤバ過ぎる。クレカ表面の情報さえあれば、後は1,000回未満のブルートフォースアタックでセキュリティコードをクラック。SMS認証が必要だから最終的にSIM契約の情報で足はつくけど、間もなく出国する外国人にビックカメラでお買い物をさせて・・後はわかりますよね?
今すぐクレジットカード利用履歴の確認を!
総当たりで登録出来るなら運だけだわ。
スキミングとかではなく、原始的な方法で不正利用が可能な仕組みってことか。
こうゆう問題を事前に防ぐためにpaytm(インドで先行してる決済システム)と連携していると思ってたけど、そういう訳では無かったのか??(内部の人しかわからん事情があるんでしょうが。。)
クレジットマスターでの総当たりとして、16桁中のブランドコード、会社コード等を除いて10桁
有効期限を5年見て5×12で60
セキュリティコード3桁
この組み合わせを総当たりさせればいけるからロックをかけないとすればカード番号すら盗む必要なしか(・∀・)ガバガバだなw