90
ログインして広告を非表示にする

コメント

  • 越田ゆっきー @vicy 13日前
    つーかこれ、普通に、個人情報流出事件じゃね? システムの不具合(物理)で会員数1億人の個人情報が取得可能な状態になってるってことだよな?
  • KID提督@甲種勲章×11 @KID_sakotsu 13日前
    いや「動き早いすごい!」じゃねーよ、むしろ遅いわ
  • 捨てアカウントB @Ka5tjdtjdB 13日前
    他人の名前、生年月日、電話番号、勤務先→そもそもこれがどこから流失したのか気にしたほうが。。
  • 鉄早矢斗@デレステID994240190 @cu6gane 13日前
    これは個人情報が流出したワケではなくて申し込み時点での楽天アカウントの重複が確認出来ず申し込み完了出来て、申請自体は通らないけどアカウントの個人情報が新規で登録しようとした人のデータに紐付きされて上書きになるクソ仕様だったってコトじゃないの?
  • koromon @yamadian 13日前
    個人情報流出ではなくて、別の所から流出した個人情報を簡単に悪用できるシステムだったという話
  • 3mのちくわ @tikuwa_zero 13日前
    古いまとめが再浮上したのかと思ったら、まさかの新着まとめ……だと……?
  • きたあかり @kita_akari0420 13日前
    楽天カード(e-navi)自体は、 月の請求メールが来るアドレス一つ変えるだけでも クレジットカード裏のセキュリティコードを求めてくるくらいだから堅めなのかと思ってたら、 新規ID取得時の小細工で 既存アカウントの個人情報を上書きできちゃうって事なの……?
  • elcondor @elcondor 13日前
    これ、経営にエスカレする前に対処は決定できないの?プレス対策等でエスカレ必要なのは理解できるけども。
  • Ito Manabu (まなびぃ) @manaby76 13日前
    vicy 流失じゃなくて、勝手に情報を書き換えられるということ。いわば、知らぬ間にポイントだけ取られる可能性があったということ。
  • あうあうあー @tekito0019adgjm 13日前
    動きが早かろうが遅かろうが、システムが穴だらけだって事が問題なんですが
  • kartis56 @kartis56 13日前
    一旦新規受付停止してシステム変更だろうか。3か月くらいでできるかな?
  • まめ @Yy7_f 13日前
    カードは持っていないけど楽天IDは持ってるし、住所も登録してある。同様の仕様だとすると、カード持っていなくても、住所書き換わる可能性ある?
  • ジャカルタ読み専ブラザーズ @_oinarisan_ 13日前
    システム構築段階でふさいておくものを今直してるんでむしろ動きは遅いんですがそれは
  • ジャカルタ読み専ブラザーズ @_oinarisan_ 13日前
    プログラムに詳しくない人からミスを許さず完璧を求める姿勢が日本の進歩を妨げてうんぬんみたいな話が出る前に言っておくと、「こういうデータの不整合を起こさないためにトランザクションを考える」というのはこの業界では「トイレに入ったら手を洗う」レベルの話なんですが、それができてないのでプログラマー界隈から「マジかよ…」みたいなリアクションが上がっているのです
  • やましよ @kkr8612 13日前
    やっぱりクレカはポイントなんぞより発行元の信頼で選ぶべきね…
  • 祐翔 @yousyo 13日前
    他人(俺)のメールアドレス使って(間違えて?)楽天会員登録→楽天カード申込→発行承認メールまでわずか数分で逝っちゃうザルシステムはまだ健在ですか? 申し込んだ人のあれこれダダ漏れですよ? 何年も前に連絡はしたけど、どうせ改善されてないんだろうなあ。
  • 稟@馬主ライフ @Rin_chaaaaaaaan 13日前
    _oinarisan_ トランザクション関係ない話じゃないですかねこれは…どっちかと言えばDBのプライマリキー/ユニークキー設計の話では
  • 権中納言明淳 @mtoaki 13日前
    Rin_chaaaaaaaan カード発行できない(手続きがキャンセルされた)時点でロールバックすべきという話なのでは?
  • しわ(師走くらげ)@_(:3 」∠)_ @shiwasu_hrpy 13日前
    >具体的なプランはこれから作りでき次第報告する  ここから実装されるまで忘れるほど長い というのがセット
  • 稟@馬主ライフ @Rin_chaaaaaaaan 13日前
    mtoaki 私はユニークキーをしっかり設計すべき(と言っても同一住所、同一電話番号での複数登録は十分考えられるので工夫が必要そうですが)と考えますが、最低でもロールバックはかけるべきですね。
  • 秋物 @Geda_2 13日前
    パスワードはけっこう複雑だった(はず)のに楽天ID乗っ取られましたよ!まずどうやら勝手にアクセスされ、届け先住所が勝手に追加され、勝手に買い物…履歴にはばっちり見知らぬアクセスと商品閲覧履歴が残ってました。幸いショップが良くある手口だと取り消してくれましたが楽天側からは注意してね程度、犯人も捕まりません…よくあるのかよと(; ̄ー ̄)Yahooもそうだけどパス解析はもう一気に解析されてしまうそうなのでログインIDも複雑なものに変えるのが今のところの対策だそうです…
  • 56号 @56gojp 13日前
    このシステムでよく今まで大規模なトラブル起きなかったな。
  • FX-702P @fx702p 13日前
    逆に言えば「この程度のシステムでも運用できてしまう」という実例なのかもしれない(闇)
  • ᐅᕋᑭ ᐃᓴᒧ @itachimasamune7 13日前
    トランザクションとかロールバックとかの話なの?「2:他人の名前、生年月日、電話番号、勤務先を入れる」この条件で入力された住所に更新する仕様があれのあれなのかと思った。 2が一致してれば同一人物だろうし住所違うのは引っ越したんやろなって解釈して新しい住所に更新してあげる優しい仕様にしちゃったのかなって。
  • ᐅᕋᑭ ᐃᓴᒧ @itachimasamune7 12日前
    なんで対策は、「住所が違ったら弾く」か「既存のアカウントと紐付けずに新規アカウントとして作る」ってなるのかと想像した
  • 野良馬 @nobody_oyaji 12日前
    まあ、上に上げるなど事後の対応の早さ「だけ」は評価してもいいかな。そこで認めず下部だけで延々グダグダやる企業も少なくないし。
  • 野良馬 @nobody_oyaji 12日前
    さすが審査の緩さでは定評のある楽天カードだと思った。
  • kou276 @kou276 12日前
    楽天カードは利用速報メールが届くので安心だと思ってたんだけど、身に覚えのない請求に「知らんがな対応」されるのが本当なら速報の意味がないな。
  • みへ @miche__rm 12日前
    名寄せの問題というよりは、与信前に変更されちゃうのが問題かな。
  • みへ @miche__rm 12日前
    名寄せより、与信前に変更されちゃうのが問題かな。
  • UY-807@ユビキタスを感じたい @UY8071 12日前
    楽天怖くて使ってないけど、他にもシステムの穴がないか洗い直して下さい、としか言いようがない。
  • 朱砂の葉 @Susanohahx 12日前
    問題点は 1.アカウントのキーが電話番号 2.本人確認プロセスを経ずに上書きされる  3.新規登録でもキーに合致した既存のアカウントのレコードが上書きされる  こんなところですかね。 うちの新人でもこんな馬鹿な設計しない。
  • オクラ @okura____love 12日前
    楽天カードマンに頑張って欲しいところ
  • ぐるり @gururi 12日前
    なんでこんなクソが稼働していたかという問題じゃないのこれ(´・ω・`)
  • オー @ohchan2016 12日前
    まあ、楽天ではなくアマゾン使うのが確実かと。 カードはちゃんとしたカード会社を使うべきだな。
  • アメリカチョウゲンボウ @AghasuraPriv 12日前
    いや、対応早いで済ませちゃダメでしょw
  • のう @sielnc 12日前
    あーそーゆーことね完全に理解した
  • のう @sielnc 12日前
    ←わかってない
  • 遠藤 @enco2001 12日前
    これ、一週間かそこらでどうこうできる問題じゃないから、もしかして今も住所変更が他人によってできてしまうままなのでは
  • Gorilla0024 @afbaRAVQ34oI2nR 12日前
    もともと、「偽情報で申請しても、カードは本当の住所(本人)に届く」ことを意図していたのに、先に悪用されていたということか。ロリペド向けの恥ずかしい商品を買うために同僚の名前を使った?
  • きゃっつ(Kats)⊿11/4京都個別 @grayengineer 12日前
    これはかなり初歩的なシステム設計ミスですね。セキュリティ面のフェイルセーフ設計が不完全、というか、ゼロに近いレベル。楽天のシステムは(まあ外注なんでしょうけど)他のシステムもいろいろこういう手抜きっぽい問題がチラホラ見受けられるので、品質的にあまり信用していません。
  • きゃっつ(Kats)⊿11/4京都個別 @grayengineer 12日前
    たとえば楽天チケット。先着制のライブチケット一般発売で受付開始時刻より前にすでに非公開のURLに申込フォームの画面が作成されていて、そのURLが割りと簡単に類推ができてしまう、という穴がありました。それを悪用して事前にフォームを開いておき、受付開始と同時にsubmitすることで先着競争を有利にする不正ができてしまっていました。こういうのは普通に想定できる範囲のことなのですが、その程度すらやらないというのがなんとも。
  • monolith @se_monolith 12日前
    なんか、犯罪者が楽天にエンジニアとして潜入して、開発体制の穴を突いてバグを仕込んでるんじゃないかとか、そんな妄想をしてしまう
  • bluemonkshood @bluemonkshood 12日前
    楽天ID作ったら、登録した携帯アドレス腐るほどうざいメールがくるので、楽天は信用していない。
  • ARENA @Arenacyan 12日前
    楽天はクソって言う既知の情報しかない。
  • 飛鷹隼 @junhiyoh 12日前
    元々楽天トラベル経由で遠征/出張時の宿取り用に作ったけど最近ぜんぜん使ってなくて夏前に解約したけど正解だった ていうか、楽天ID取って暫くしてからメール経由で申込したら申込完了と同時に可決(審査に入りますメールが届いた時点でwebステータスが発行準備完了)とか受付と審査システムがザルなんてもんじゃないのは昔から有名だったからなぁ……その分途上与信厳しくてエラコ2地獄とか言われてるのも殆ど都市伝説級にそんなのと縁のなかったし。要するに最初の一枚にすら楽天カードは持たないのが正解と
  • miku @miku_myway 12日前
    動き早いっちゅーか最初から本人以外がどうにか出来ちゃうシステムってやばいじゃんか…
  • Earwax @Earwax97409510 12日前
    2番目のツイートがわかりにくいけど、要するに「3.楽天カードの発行申し込みをする」の時にも住所を入力してて、その内容で2.の内容が上書きされちゃうよ という事?
  • きゃっつ(Kats)⊿11/4京都個別 @grayengineer 12日前
    このケース1件だけって言ってるけど、それはまずあり得ないだろうなぁ。同じことを思いつく人は何人もいるだろうし、今回の犯人が手当たり次第いろんな人で試してる可能性もあるし
  • なちゃ @nachakey 12日前
    トランザクションとかいう問題ではなくてプログラミングミスとかいう問題でもなくて設計時になんでこれでとおったというレベルの話。 PCIDSSの規定とかには引っかからんのかなこれ
  • KG-nobody @kgnobody 12日前
    "調査したところ他には同様な事案はなく、けんすうさんの1件だけだったと説明している。http://www.itmedia.co.jp/news/articles/1710/11/news126.html"; 楽天の登録者全員に電話連絡して確認でもとったの?誰も気づいてなくて報告上がってないだけじゃないの。
  • KITI @KITI_TW 12日前
    こんなん、現状調査だけで何日もかかるのに。対策したなんて信じられませんよ。「経営層までエスカレした(エスカレするとは言ってない)」ってやつでしょう。
  • phantive @phantive 12日前
    気に掛けて時々見に来てるが、この情報だけでは問題内容が不明(電話番号をキーに誰でも情報更新なんて、いくら何でもありえない)。 楽天は、早急にきちんとした情報を出すべき。
  • ナスカ/HighProgrammer's @Chiether 12日前
    kgnobody or このオペレーションで住所変更されたのがたまたまこの1件だけだった。
  • ナスカ/HighProgrammer's @Chiether 12日前
    正直なところ「この1件しかありえない。なんて考えられない」というのは、私は「そう身構えるべき」かつ「ありえないわけではない」と思っていて。 例えば「今回の犯人が手当たり次第いろんな人で試してる」を実現するためには「その人が楽天カードを申し込んでいて、かつ…」とならんと同様の結果は起こらず。持っていない人に試されたケースは「実験的な不正申込があった」という形にしか表面上はならんわけで。 そこまで調査したら面白い話は出てきそうなんだけどねぇ。
  • ナスカ/HighProgrammer's @Chiether 12日前
    同様の事例が発生するのは、1. 住所変更を勝手にできると気付いた人。 2. 被害を与える相手が楽天カードの契約者であると知っている人。 3. 被害を与える相手の「氏名、生年月日、(電話番号、勤務先)」といった紐付け条件を知っている人。 4. (3)の実際の正しいデータを知っている人 を全て満たす必要があるわけで。案外「1件しかなかった」は、ありえるんじゃないかろうか。
  • ナスカ/HighProgrammer's @Chiether 12日前
    むしろシステム改修前(11日という発表)に「こうできるぞ」ってツイートしているほうがまずいんでは? いやたぶんそこだけピンポイントで止めたか変更保留にしたとか対応されていると思うけどさ……。
  • mau @YamadaIkra 11日前
    仕様だから、ツイートされても仕様がない
  • kosei @kosei52837210 11日前
    Chiether 1.他人名義のカードを作ろうと試すだけで棚ぼたで住所変更 2.カードの契約者である必要はない(新規で可能) 3.氏名生年月日勤務先までは公開してる人は結構多い 氏名と電話番号のリストみたいなものがあれば手当たり次第に試せて、当たりを引く確率はかなり高いかと
  • キリナ @Oft_Gefragt 11日前
    楽天カード解約しておいてよかったー!楽天IDも破棄してよかったー!「年会費無料なのでそのままお持ちになってはいかがですか?」とか眠たいこと言われたけどきっちり解約してよかったー!
  • ピクルスジャンキー @Pikuru_Su 9日前
    楽天カードってクレジットカードってものとは、もはや別物の何かって印象
  • ウニ友達 @Bonboriman 8日前
    嘘松じゃ無いのか(絶望)

カテゴリーからまとめを探す

ログインして広告を非表示にする
ログインして広告を非表示にする