【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
90
ログインして広告を非表示にする
けんすう @kensuu 2017-10-10 14:03:47
楽天カードをe-NAVIで見たら住所とかの登録情報が全く違うものになっていて、住んだこともない墨田区になってたんですが、不安で電話をかけてみたら2012年以降変更された経歴がない、と言われたので、実は2012年に墨田区に住んでた可能性がある
けんすう @kensuu 2017-10-10 17:56:16
楽天カードの住所が勝手に変わってた問題、電話で聞いてみたら 1:楽天IDを適当にとる 2:他人の名前、生年月日、電話番号、勤務先を入れる 3:楽天カードの発行申し込みをする とすると、その住所に自動的に変更されてしまう仕様らしいです。郵便物とかもそこの住所いくので注意です!
けんすう @kensuu 2017-10-10 17:58:14
これ、いろいろな人の住所を勝手に書き換えられるから、危険な仕様なんだけど、「定期的にチェックしてください」というのが回答だったので、結構たいへんだなあ、と。
けんすう @kensuu 2017-10-10 18:00:37
というわけで、@rakutencard さんは何か対策を考えたほうがいいかもしれないですねえ、、、とリプを送ってみます
Lim™☺︎LESS IS MORE⚓ @Investorlim 2017-10-10 18:02:38
@kensuu 3:楽天カードの発行申し込みをする の与信でとまらない\(◎o◎)/!? やばすぎますね。。。。
けんすう @kensuu 2017-10-10 18:03:22
@Investorlim 与信でとまるんですけど、住所は申請時のにアップデートされちゃうぽいんですよね。
けんすう @kensuu 2017-10-10 22:02:45
これいろいろ考えた結果、楽天カードをやめるか、携帯番号を別に持つかしか思いつかなかったので、楽天カードをやめることにしました。セキュリティ的に結構なリスクがたかすぎて・・・。愛してたけど、さようなら楽天カード。(ToT)/~~~ twitter.com/kensuu/status/…
ぶりお @brioh 2017-10-10 23:03:19
@kensuu 他人がけんすうさんを偽って登録したってことですか?
ぶりお @brioh 2017-10-11 08:19:03
@kensuu うわー悪用できますねー
五穀 @juntan_xxx 2017-10-11 08:43:30
@brioh @kensuu この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。 システム屋の私からみると、とても信じられない仕様ですが…これが事実だとすれば確信的な犯罪です。
ぶりお @brioh 2017-10-11 09:46:26
@juntan_xxx @kensuu 個人番号カードのID並みに、自宅電話番号も秘密にしないと危ない仕様・・・
Nami @Baz_nami 2017-10-11 08:53:44
@kensuu 横から失礼します 楽天カードの発行申し込みをした際の引き落とし口座は「他人」様のものを使うのですよね?なので銀行でチェックされるのではないでしょうか? また、あらたにカードを申請するのであって、更新とは関係ないですよね? 違っていたらごめんなさい
けんすう @kensuu 2017-10-11 09:02:37
@Baz_nami 今回のケースでは、名前を騙って申請するだけで、住所を変更できてそれが真として扱われ、その後の郵便物は新しい住所に送られるのが問題なんですね
ゆき乃 @yukiNoy 2017-10-11 01:04:25
@kensuu 更新間近でこれやられたら新しいカードが他人に届いて悪用される可能性大ですね。 これは楽天カードさんに早めに対応していただきたい。。
ネコラスケイジ @nekokei2164 2017-10-10 18:19:42
@kensuu 自分は楽天カードで身に覚えのない請求があった際にカスタマーサービスに電話したら「弊社では調査でき兼ねますので、ご自身で請求元と交渉なさって下さい」などと「知らんがな対応」されました…
けんすう @kensuu 2017-10-11 10:10:28
この件、先ほどお電話いただいて - 経営層までエスカレーションした - そこで、本人以外からは変えられないような仕組みにすると決定した - 具体的なプランはこれから作りでき次第報告する とのことでした。動き早い!すごい! twitter.com/kensuu/status/…

コメント

こねこのゆっきー @vicy 2017-10-11 11:28:18
つーかこれ、普通に、個人情報流出事件じゃね? システムの不具合(物理)で会員数1億人の個人情報が取得可能な状態になってるってことだよな?
KID提督 @KID_sakotsu 2017-10-11 11:38:52
いや「動き早いすごい!」じゃねーよ、むしろ遅いわ
捨てアカウントB @Ka5tjdtjdB 2017-10-11 11:43:22
他人の名前、生年月日、電話番号、勤務先→そもそもこれがどこから流失したのか気にしたほうが。。
鉄早矢斗@C94 三日目(日)東リ-36b [デレステID:994240190] @cu6gane 2017-10-11 12:14:09
これは個人情報が流出したワケではなくて申し込み時点での楽天アカウントの重複が確認出来ず申し込み完了出来て、申請自体は通らないけどアカウントの個人情報が新規で登録しようとした人のデータに紐付きされて上書きになるクソ仕様だったってコトじゃないの?
koromon @yamadian 2017-10-11 12:14:29
個人情報流出ではなくて、別の所から流出した個人情報を簡単に悪用できるシステムだったという話
3mのパブリックエネミーちくわ @tikuwa_zero 2017-10-11 12:25:08
古いまとめが再浮上したのかと思ったら、まさかの新着まとめ……だと……?
きたあかり @kita_akari0420 2017-10-11 12:40:34
楽天カード(e-navi)自体は、 月の請求メールが来るアドレス一つ変えるだけでも クレジットカード裏のセキュリティコードを求めてくるくらいだから堅めなのかと思ってたら、 新規ID取得時の小細工で 既存アカウントの個人情報を上書きできちゃうって事なの……?
elcondor @elcondor 2017-10-11 12:47:34
これ、経営にエスカレする前に対処は決定できないの?プレス対策等でエスカレ必要なのは理解できるけども。
Ito Manabu (まなびぃ) @manaby76 2017-10-11 12:55:03
vicy 流失じゃなくて、勝手に情報を書き換えられるということ。いわば、知らぬ間にポイントだけ取られる可能性があったということ。
お茶 @chabaaaaaaaannn 2017-10-11 13:19:19
動きが早かろうが遅かろうが、システムが穴だらけだって事が問題なんですが
kartis56 @kartis56 2017-10-11 13:40:08
一旦新規受付停止してシステム変更だろうか。3か月くらいでできるかな?
まめ @Yy7_f 2017-10-11 14:05:44
カードは持っていないけど楽天IDは持ってるし、住所も登録してある。同様の仕様だとすると、カード持っていなくても、住所書き換わる可能性ある?
ジャカルタ読み専ブラザーズ @_oinarisan_ 2017-10-11 14:12:33
システム構築段階でふさいておくものを今直してるんでむしろ動きは遅いんですがそれは
ジャカルタ読み専ブラザーズ @_oinarisan_ 2017-10-11 14:20:46
プログラムに詳しくない人からミスを許さず完璧を求める姿勢が日本の進歩を妨げてうんぬんみたいな話が出る前に言っておくと、「こういうデータの不整合を起こさないためにトランザクションを考える」というのはこの業界では「トイレに入ったら手を洗う」レベルの話なんですが、それができてないのでプログラマー界隈から「マジかよ…」みたいなリアクションが上がっているのです
やましよ @kkr8612 2017-10-11 14:30:41
やっぱりクレカはポイントなんぞより発行元の信頼で選ぶべきね…
祐翔 @yousyo 2017-10-11 14:33:02
他人(俺)のメールアドレス使って(間違えて?)楽天会員登録→楽天カード申込→発行承認メールまでわずか数分で逝っちゃうザルシステムはまだ健在ですか? 申し込んだ人のあれこれダダ漏れですよ? 何年も前に連絡はしたけど、どうせ改善されてないんだろうなあ。
稟@馬主ライフ @Rin_chaaaaaaaan 2017-10-11 14:36:56
_oinarisan_ トランザクション関係ない話じゃないですかねこれは…どっちかと言えばDBのプライマリキー/ユニークキー設計の話では
権中納言明淳 @mtoaki 2017-10-11 14:48:03
Rin_chaaaaaaaan カード発行できない(手続きがキャンセルされた)時点でロールバックすべきという話なのでは?
しわ(師走くらげ)@余暇ください @shiwasu_hrpy 2017-10-11 15:08:58
>具体的なプランはこれから作りでき次第報告する  ここから実装されるまで忘れるほど長い というのがセット
稟@馬主ライフ @Rin_chaaaaaaaan 2017-10-11 15:09:13
mtoaki 私はユニークキーをしっかり設計すべき(と言っても同一住所、同一電話番号での複数登録は十分考えられるので工夫が必要そうですが)と考えますが、最低でもロールバックはかけるべきですね。
NO忖度 @Geda_2 2017-10-11 15:37:40
パスワードはけっこう複雑だった(はず)のに楽天ID乗っ取られましたよ!まずどうやら勝手にアクセスされ、届け先住所が勝手に追加され、勝手に買い物…履歴にはばっちり見知らぬアクセスと商品閲覧履歴が残ってました。幸いショップが良くある手口だと取り消してくれましたが楽天側からは注意してね程度、犯人も捕まりません…よくあるのかよと(; ̄ー ̄)Yahooもそうだけどパス解析はもう一気に解析されてしまうそうなのでログインIDも複雑なものに変えるのが今のところの対策だそうです…
56号 @56gojp 2017-10-11 16:05:26
このシステムでよく今まで大規模なトラブル起きなかったな。
FX-702P @fx702p 2017-10-11 16:15:10
逆に言えば「この程度のシステムでも運用できてしまう」という実例なのかもしれない(闇)
ᐅᕋᑭ ᐃᓴᒧ @itachimasamune7 2017-10-11 16:36:32
トランザクションとかロールバックとかの話なの?「2:他人の名前、生年月日、電話番号、勤務先を入れる」この条件で入力された住所に更新する仕様があれのあれなのかと思った。 2が一致してれば同一人物だろうし住所違うのは引っ越したんやろなって解釈して新しい住所に更新してあげる優しい仕様にしちゃったのかなって。
ᐅᕋᑭ ᐃᓴᒧ @itachimasamune7 2017-10-11 16:40:55
なんで対策は、「住所が違ったら弾く」か「既存のアカウントと紐付けずに新規アカウントとして作る」ってなるのかと想像した
野良馬 @nobody_oyaji 2017-10-11 17:20:16
まあ、上に上げるなど事後の対応の早さ「だけ」は評価してもいいかな。そこで認めず下部だけで延々グダグダやる企業も少なくないし。
野良馬 @nobody_oyaji 2017-10-11 17:21:28
さすが審査の緩さでは定評のある楽天カードだと思った。
kou276 @kou276 2017-10-11 17:35:55
楽天カードは利用速報メールが届くので安心だと思ってたんだけど、身に覚えのない請求に「知らんがな対応」されるのが本当なら速報の意味がないな。
み \[T]/ へ @miche__rm 2017-10-11 17:57:26
名寄せの問題というよりは、与信前に変更されちゃうのが問題かな。
み \[T]/ へ @miche__rm 2017-10-11 17:57:42
名寄せより、与信前に変更されちゃうのが問題かな。
UY-807@ユビキタスを感じたい @UY8071 2017-10-11 18:25:05
楽天怖くて使ってないけど、他にもシステムの穴がないか洗い直して下さい、としか言いようがない。
朱砂の葉 @Susanohahx 2017-10-11 18:53:59
問題点は 1.アカウントのキーが電話番号 2.本人確認プロセスを経ずに上書きされる  3.新規登録でもキーに合致した既存のアカウントのレコードが上書きされる  こんなところですかね。 うちの新人でもこんな馬鹿な設計しない。
オクラ @okura____love 2017-10-11 18:56:10
楽天カードマンに頑張って欲しいところ
ぐるり @gururi 2017-10-11 18:58:56
なんでこんなクソが稼働していたかという問題じゃないのこれ(´・ω・`)
オー @ohchan2016 2017-10-11 19:11:02
まあ、楽天ではなくアマゾン使うのが確実かと。 カードはちゃんとしたカード会社を使うべきだな。
アメリカチョウゲンボウ @AghasuraPriv 2017-10-11 19:15:08
いや、対応早いで済ませちゃダメでしょw
つら @tsuramisan 2017-10-11 19:16:47
あーそーゆーことね完全に理解した
遠藤 @enco2001 2017-10-11 19:21:59
これ、一週間かそこらでどうこうできる問題じゃないから、もしかして今も住所変更が他人によってできてしまうままなのでは
toge365 @toge365 2017-10-11 19:35:30
もともと、「偽情報で申請しても、カードは本当の住所(本人)に届く」ことを意図していたのに、先に悪用されていたということか。ロリペド向けの恥ずかしい商品を買うために同僚の名前を使った?
きゃっつ(Kats)⊿6/24欅坂京都個別 @grayengineer 2017-10-11 19:56:29
これはかなり初歩的なシステム設計ミスですね。セキュリティ面のフェイルセーフ設計が不完全、というか、ゼロに近いレベル。楽天のシステムは(まあ外注なんでしょうけど)他のシステムもいろいろこういう手抜きっぽい問題がチラホラ見受けられるので、品質的にあまり信用していません。
きゃっつ(Kats)⊿6/24欅坂京都個別 @grayengineer 2017-10-11 19:58:59
たとえば楽天チケット。先着制のライブチケット一般発売で受付開始時刻より前にすでに非公開のURLに申込フォームの画面が作成されていて、そのURLが割りと簡単に類推ができてしまう、という穴がありました。それを悪用して事前にフォームを開いておき、受付開始と同時にsubmitすることで先着競争を有利にする不正ができてしまっていました。こういうのは普通に想定できる範囲のことなのですが、その程度すらやらないというのがなんとも。
monolith @se_monolith 2017-10-11 20:06:18
なんか、犯罪者が楽天にエンジニアとして潜入して、開発体制の穴を突いてバグを仕込んでるんじゃないかとか、そんな妄想をしてしまう
bluemonkshood @bluemonkshood 2017-10-11 20:59:02
楽天ID作ったら、登録した携帯アドレス腐るほどうざいメールがくるので、楽天は信用していない。
ARENA @Arenacyan 2017-10-11 21:00:54
楽天はクソって言う既知の情報しかない。
飛鷹隼 @junhiyoh 2017-10-11 22:51:50
元々楽天トラベル経由で遠征/出張時の宿取り用に作ったけど最近ぜんぜん使ってなくて夏前に解約したけど正解だった ていうか、楽天ID取って暫くしてからメール経由で申込したら申込完了と同時に可決(審査に入りますメールが届いた時点でwebステータスが発行準備完了)とか受付と審査システムがザルなんてもんじゃないのは昔から有名だったからなぁ……その分途上与信厳しくてエラコ2地獄とか言われてるのも殆ど都市伝説級にそんなのと縁のなかったし。要するに最初の一枚にすら楽天カードは持たないのが正解と
miku @miku_myway 2017-10-11 23:30:40
動き早いっちゅーか最初から本人以外がどうにか出来ちゃうシステムってやばいじゃんか…
Earwax @Earwax97409510 2017-10-11 23:33:46
2番目のツイートがわかりにくいけど、要するに「3.楽天カードの発行申し込みをする」の時にも住所を入力してて、その内容で2.の内容が上書きされちゃうよ という事?
きゃっつ(Kats)⊿6/24欅坂京都個別 @grayengineer 2017-10-12 00:29:53
このケース1件だけって言ってるけど、それはまずあり得ないだろうなぁ。同じことを思いつく人は何人もいるだろうし、今回の犯人が手当たり次第いろんな人で試してる可能性もあるし
なちゃ @nachakey 2017-10-12 00:37:22
トランザクションとかいう問題ではなくてプログラミングミスとかいう問題でもなくて設計時になんでこれでとおったというレベルの話。 PCIDSSの規定とかには引っかからんのかなこれ
KG-nobody @kgnobody 2017-10-12 02:52:24
"調査したところ他には同様な事案はなく、けんすうさんの1件だけだったと説明している。http://www.itmedia.co.jp/news/articles/1710/11/news126.html"; 楽天の登録者全員に電話連絡して確認でもとったの?誰も気づいてなくて報告上がってないだけじゃないの。
KITI @KITI_TW 2017-10-12 08:10:06
こんなん、現状調査だけで何日もかかるのに。対策したなんて信じられませんよ。「経営層までエスカレした(エスカレするとは言ってない)」ってやつでしょう。
phantive @phantive 2017-10-12 09:00:09
気に掛けて時々見に来てるが、この情報だけでは問題内容が不明(電話番号をキーに誰でも情報更新なんて、いくら何でもありえない)。 楽天は、早急にきちんとした情報を出すべき。
ヴァーチャルツイッタラー ナスカ-U/C94(金)パ29a @Chiether 2017-10-12 15:41:30
kgnobody or このオペレーションで住所変更されたのがたまたまこの1件だけだった。
ヴァーチャルツイッタラー ナスカ-U/C94(金)パ29a @Chiether 2017-10-12 15:46:07
正直なところ「この1件しかありえない。なんて考えられない」というのは、私は「そう身構えるべき」かつ「ありえないわけではない」と思っていて。 例えば「今回の犯人が手当たり次第いろんな人で試してる」を実現するためには「その人が楽天カードを申し込んでいて、かつ…」とならんと同様の結果は起こらず。持っていない人に試されたケースは「実験的な不正申込があった」という形にしか表面上はならんわけで。 そこまで調査したら面白い話は出てきそうなんだけどねぇ。
ヴァーチャルツイッタラー ナスカ-U/C94(金)パ29a @Chiether 2017-10-12 15:50:11
同様の事例が発生するのは、1. 住所変更を勝手にできると気付いた人。 2. 被害を与える相手が楽天カードの契約者であると知っている人。 3. 被害を与える相手の「氏名、生年月日、(電話番号、勤務先)」といった紐付け条件を知っている人。 4. (3)の実際の正しいデータを知っている人 を全て満たす必要があるわけで。案外「1件しかなかった」は、ありえるんじゃないかろうか。
ヴァーチャルツイッタラー ナスカ-U/C94(金)パ29a @Chiether 2017-10-12 15:53:42
むしろシステム改修前(11日という発表)に「こうできるぞ」ってツイートしているほうがまずいんでは? いやたぶんそこだけピンポイントで止めたか変更保留にしたとか対応されていると思うけどさ……。
いくら @YamadaIkra 2017-10-12 18:45:58
仕様だから、ツイートされても仕様がない
kosei @kosei52837210 2017-10-12 21:30:48
Chiether 1.他人名義のカードを作ろうと試すだけで棚ぼたで住所変更 2.カードの契約者である必要はない(新規で可能) 3.氏名生年月日勤務先までは公開してる人は結構多い 氏名と電話番号のリストみたいなものがあれば手当たり次第に試せて、当たりを引く確率はかなり高いかと
キリナ @Oft_Gefragt 2017-10-13 10:51:04
楽天カード解約しておいてよかったー!楽天IDも破棄してよかったー!「年会費無料なのでそのままお持ちになってはいかがですか?」とか眠たいこと言われたけどきっちり解約してよかったー!
ピクルスジャンキー @Pikuru_Su 2017-10-14 23:43:28
楽天カードってクレジットカードってものとは、もはや別物の何かって印象
ウニ友達 @Bonboriman 2017-10-16 09:04:32
嘘松じゃ無いのか(絶望)

カテゴリーからまとめを探す

「雑談」に関連するカテゴリー

ログインして広告を非表示にする
ログインして広告を非表示にする