Boothの同人音楽ネットイベント「Apollo」で人のアカウントに意図せずログインできて人のクレカで買い物までできてしまっていたらしい件まとめ(1)
-
dmnews_toho
- 286340
- 9
- 313
- 142
-
- いいね!142
萩原崇之
@takayuki_h
Boothの決済のインフラになっているWebPayにはクレジットカードをWebPay側で入力すると専用のトークンを発行してサービス側に渡す仕組みがあるのでBoothがこれを使用していればクレカ情報は洩れません。ただし、誤決済は発生します
2014-11-30 06:36:36
萩原崇之
@takayuki_h
なので被害だけでいうと誤決済のトレースさえできればそれほど問題なく収束します。ただしBoothはショッピングモール向けのサービスを使っていて、これは性格上Booth側、WebPay側に責任が大きくなるので、ここの方で大きな影響が出そうですね
2014-11-30 06:45:49
萩原崇之
@takayuki_h
Boothも使っているのはこれですね。 webpay.jp トップページすぐに書いてある「トークン決済」というのが先ほど私が述べた仕組みです
2014-11-30 06:50:13
萩原崇之
@takayuki_h
Boothの障害報告読んだらわかった。多分、AWSとかのCDNの設定でセッション情報が含まれうるURLをキャッシュ対象にしちゃっただけですね booth.pm/apollo
2014-11-30 07:47:34
萩原崇之
@takayuki_h
Boothの障害報告のパーマリンク見つけた。直接の金銭的被害より個人情報とかの方がはるかに影響でかいですね。pixivアカウントと住所と生メアドって完全にセンシティブ情報じゃないかな? pixiv.net/info.php?id=30…
2014-11-30 12:43:44
萩原崇之
@takayuki_h
Boothの資料よく見たら画像配信のところに「アプリケーション側の要件のため複雑な正規表現によるキャッシュの細かなルールが設定されている」とありますね。原因これだ speakerdeck.com/takafumiminami…
2014-11-30 14:05:23
Apollo/BOOTHへの声援
須藤ストラ
@sudostrat
APOLLO昨日数時間漁ってすごく楽しかったし、まだまだ直せばもっと良いイベントになるだろうからなんとか次に繋げてほしいんだけどな…どうかな…
2014-11-29 20:21:48
風上ユウオン
@k7youon_vellum
今回のAPOLLOがうまくいってWeb同人音楽即売会の地位が確立されたら色々企画もやりたかったんだけどな。それは普通にCD媒体で作ればいい話だけどDL作品にはDL作品の魅力があるしどうにか持ち直してほしい
2014-11-29 21:19:34
ぽ
@jinnichrou
BOOTHが炎上祭りになってますが私はとりあえず扱いを続けたいと思ってますよ。数少ないクレカを使わずコンビニ決済ができるところなので。
2014-11-30 00:09:07