限定公開でまとめを作れば、相互フォローやフォロワー限定でまとめを共有できます!

PAYPAYの クレジットカード登録時の認証コードを探るアプリになったという重大欠陥について。(自分ログ用 まとめ) ツイートにコメ欄の省略部分を追加

PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公式が対応に関するお知らせをするも「身内を疑えというのか」と非難殺到 https://togetter.com/li/1298232 現時点でアップデートはされた模様です。
社会問題 Yahoo VISA ニュース MC PayPay ソフトバンク クレジットカード
1443view 8コメント
1
リンク Engadget JP 219 users 691 PayPay、『クレカ不正利用』で対策 セキュリティーコード入力に上限 - Engadget Japanese スマホ決済「PayPay」でクレジットカードの不正利用が報告されている問題で、PayPay側が対策を発表しました。 PayPayを巡っては、100億円キャンペーンで世間が熱狂した一方、『利用した覚えのないPayPayからの請求がクレジットカードに来た』という報告があり、PayPay側も注意喚起していました。 この...

さてと、このニュースが出るまではその問題点がネットで色々と語られた模様です。今現在はリトライ回数に上限をかけていますけど。

ざの人(togetter用垢) @zairo2016
一応このまとめ見て、カードの今月の明細を確認したら、その不正使用はなかった。  PAYPAYのキャンペーン前にフェイスブックとかの個人情報.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

個人情報が漏れたとかあるから、ネット情報が漏洩した関連のサイト利用者が、総当りでPAYPAYで悪用されたケースという感じですね。クレカ登録時には セキュリティコード必須なんだけど、それも漏れたのだろうか? もしかして PAYPAYも000で通った?(ヨドバシのケースはそれで登録できるというツイートが回ってきたから どうなのかな?)

ざの人(togetter用垢) @zairo2016
個人情報漏洩事件・被害事例一覧 cybersecurity-jp.com/leakage-of-per…  大きいのは 12月12日:Google+で約5,250万人分の個人情報漏洩の懸念で コレ.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

コレはまだ被害明らかになってないけど、クレカ情報397件が流出の可能性、一部で不正利用も|新日本造形株式会社 とかそこそこある。

ざの人(togetter用垢) @zairo2016
.@zairo2016 自分の個人情報が漏れた際の話は、最低限メール通知はあるとは思いますが、気がつかない人もいるかもしれませんので、自分で明細.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

自分で明細をネットで問い合わせの手段を持っていない人は、クレジットカード会社に問い合わせをしましょう。電話一本で簡単に確認にできると思いますので。

ざの人(togetter用垢) @zairo2016
無論、1枚だけのクレカ使用者であり、正規の手順でPAYPAYを先に登録している場合なら、 ソレがシステム上そこから他人に PAYPAYを不正登録.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

不正登録されるということは、PAYPAYからの漏洩でも起きなければそういう被害は無いとは思うのだけど、 複数枚クレカを利用している人の場合でPAYPAY未登録の場合で、色々なサイトにクレカ情報を登録していた場合は漏洩でもしたら利用されるのでは?というのはある。自分は逆にあんまり使わないが登録を当人がしたので、まぬがれた?とおもってるくらい。

ざの人(togetter用垢) @zairo2016
ああ PAYPAYアプリに対して、同じクレカ番号で セキュリティ番号のところは確かに何回もトライできたから(最初4桁と思ったら 3桁だったの.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

(最初4桁と思ったら 3桁だったので 二回目で通った)何回も番号をトライできるソフト作れば、理論上は最大1000回(000も含めると)トライすれば通るという理屈なので、トライ回数制限を設けていないのなら?そういうアプリで狙われた可能性は無いとはいえない。つまり何回もトライできるのなら?暇な中国人雇って、通るまでやらせることも可能?それでかな?と気がついた。

ざの人(togetter用垢) @zairo2016
.@zairo2016① 試しに、クレジットカードの登録時にセキュリティコードをわざと10回間違えて入力してみたが、特にロックはかからなかった。 .. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

 ②クレカをネットで使わなくても、店員がクレカ番号を盗み見る手口は沢山あるし、ネット利用者は情報漏洩 ③高額の請求チェックを身分証でしていない店多数だった。以上3つがそろってこその犯罪だとわかる。

ざの人(togetter用垢) @zairo2016
.@kamiomutsu さんのコメント「クレカ番号総当たりなんて方法ならこれまでだって世界中で何万回となく試みられているだろうから、総当たりが可能な決済方法が提供されてることに問題があったという理解でいいんだよね?」にいいね!しました。 togetter.com/li/1298232#c57…
ざの人(togetter用垢) @zairo2016
.@zairo2016 アプリレビューをみたところ、 セキュリティコード発見アプリとなっている。 という指摘があった。 ホント同意する。 だって.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

だって コレで通ったら?そのクレカ番号と名義人でそのカードでの不正使用が出来てしまうってことだから。 ほんとこれはとんでもないアプリになってしまった。 マジでこの状態だとサービス停止して、ソレが治るまでは使用してはいけない。というか流通させてはいけない。

ざの人(togetter用垢) @zairo2016
.@zairo2016 クレジット番号と期限と 名前は判ったとします。  そこで 仮に 316 が通ったとしましょうか? となると?その番号でほか.. togetter.com/li/1298232#c57… 「PayPayクレカ不正利用多発に「原因は登録認証のザルさでは」と疑う人々…公..」togetter.com/li/1298232 にコメントしました。

その番号でほかのサイトでのクレカ使用が出来ると判明したことになり、 セキュリティの意味がなくなってしまうのです。 どうですか?如何に危ないソフトがわかるでしょう? ですので、至急取引停止し、セキュリティのアップデートしないといけないのです。コレは行政指導の入るレベル。

ざの人(togetter用垢) @zairo2016
さてと、今のタイムスタンプの時点でアップデートがかかった模様、セキュリティコードのリトライ問題を解決したかどうかは、新規の人が試さな.. togetter.com/li/1299496#c57… 「PAYPAYの クレジットカード登録時の認証コードを探るアプリになったという..」togetter.com/li/1299496 にコメントしました。

試さないとできないだろうから不明。全国のお店一覧 の強制終了問題は解決されている気はする。

コメント

ざの人(togetter用垢) @zairo2016 12月18日
このソフトの問題は、単独で、 「利用できるクレジット会社利用者のセキュリティコードを見つけ出すソフト」という重大欠陥だったのだと気がついたことjに有ります。
ざの人(togetter用垢) @zairo2016 12月18日
このソフトが改善されずに流通していると? 個人名義、有効期限、カードナンバーさえ判明すれば、VISA、MC、ヤフーJCBのカード使用者が被害にという図式になります。PAYPAYだけの問題ではなく、これらのユーザーが危険を抱えるという問題に発展といっても過言では無い。 至急この会社「サービスの一時停止とソフト改善のアップデートを要求」しなければいけませんが、開発者たちはレビューにコメントを返している様子なので、読んでいるとは思いますが、アップデート告知はありませんしサービスも動いてる(大汗
ざの人(togetter用垢) @zairo2016 12月18日
さてと、今のタイムスタンプの時点でアップデートがかかった模様、セキュリティコードのリトライ問題を解決したかどうかは、新規の人が試さないとできないだろうから不明。全国のお店一覧 の強制終了問題は解決されている気はする。
ざの人(togetter用垢) @zairo2016 12月18日
zairo2016 、『クレカ不正利用』で対策 セキュリティーコード入力に上限 https://japanese.engadget.com/2018/12/17/paypay/  ということで、とりあえず対策はされたわけかと。
こねこのゆっきー @vicy 12月18日
つーか認証コードって3ケタのやつだよな?クリック自動化ツール使えは一瞬じゃん
ログインして広告を非表示にする
ログインして広告を非表示にする