2021年5月6日

記事を購入するときに会員登録不要ですぐにクレジットカード入力ができてしまうため「不正入手されたクレジットカードの有効性確認」にnoteが悪用されているらしい

よく思いつくものですね
169
あかんやつマン🥦 @kabuakan

不正入手されたクレジットカードの有効性確認にnoteが悪用されているらしく、理由調べてみたけど納得だわ。 記事を購入するときに会員登録不要で、すぐクレジットカード入力→有効性チェックができるからそりゃ悪用されるわって感じ。 pic.twitter.com/2Ramtgvk1C

2021-05-05 22:00:51
拡大
拡大
あかんやつマン🥦 @kabuakan

ただこのくらいクレジットカード与信・決済周りが緩いサービスは他にもあるだろうし、目に付きやすいnoteが選ばれたのかなって感じ。エンジニアはこういう部分の対策にも気を配らないとですね。

2021-05-05 22:04:39
なかなかあかんやつでは
Captain Nemo @kuronekococochi

なるほどです 頭の回る人がいるものですね… twitter.com/kabuakan/statu…

2021-05-06 02:32:54
Aki @AkiDebukatsu

これさすがに試行回数制限はあるよね?と思って試してみたけど、……… twitter.com/kabuakan/statu…

2021-05-06 00:58:07
オオスキ トモコ @cafe_petit

おそらく、去年のIPアドレス露出の際の事後対応の悪さで目をつけられて狙われたんだろうな… twitter.com/kabuakan/statu…

2021-05-06 03:55:48
ベンチャー社長2.0 @g7ApE8LZrU2uWWL

たしかにそうなんだけどそれ実行した犯罪者たちすごいな。真っ当に仕事しても結構稼げるだろそいつ twitter.com/kabuakan/statu…

2021-05-05 23:48:28
kntnw @chutan28

よく思いつくなってかこういう知識どこで共有されてるんだ twitter.com/kabuakan/statu…

2021-05-06 07:50:51
にーてすと @live_neetest

noteのクレカ情報削除した。こんなん怖すぎる

2021-05-05 22:03:49
にーてすと @live_neetest

いや、これ削除関係ないな?無条件に有効性チェックできるってことか

2021-05-05 22:04:31
人狼/観戦 @jinro

@live_neetest 会員のクレカ情報が外に出るっていうより、noteの設計がガバガバすぎてクレカ情報チェックツールに使われてるって話だと思う

2021-05-06 00:50:10
利便性とセキュリティーのせめぎあい
R @ank765

金回りの利便性を上げるとすぐに悪用される twitter.com/kabuakan/statu…

2021-05-06 08:06:21
サく☆らビ @saclabi

会員登録面倒やなと思ってたけどこの時のためにあるのか 義務教育で教えてくれ twitter.com/kabuakan/statu…

2021-05-06 04:03:20
fusagiko @fusadra

性善説の正体って「対策面倒くさい」、破ったやつに重罪与えておけば良くね?って無能と怠慢のコンボ、そしてルールを無視して来るやつへの無警戒……なのかな twitter.com/kabuakan/statu…

2021-05-06 01:48:38
ファニィ @fanybot

今の世の中「システムは悪用される」という性悪説を前提にして対策をしておかないと、いざという時にえらいメに遭うのよね・・・それも日本人では思いもつかないようなえげつない方法を取られる事もしばしば。あんま分母を大きくしたくないけど、日本人は世界の悪意に対する認識が甘すぎる感。 twitter.com/kabuakan/statu…

2021-05-06 00:28:54
福冨諭 /(' - ' ;)\ @fuktommy

そりゃまあ会員登録が挟まると面倒くさがって離脱されるからステップ数は減らさざるを得ない。僕だって映画のチケットなんかは会員登録せずに買ってる。3Dセキュアがまともだったらもうちょい採用されると思うんだけど今は離脱率を大きく増やすだろうから導入したくないだろうな。 twitter.com/kabuakan/statu…

2021-05-06 02:48:22
エンジニアは大変だ
ないさん @nai3jp

異常系とは少し違う角度の検証要るのね

2021-05-06 09:28:03
谷井章宏 / Akihiro Tanii @aki_honmono

サービス開発に関わる以上、明日は我が身かもしれないから笑えない。 twitter.com/kabuakan/statu…

2021-05-06 01:34:46
チョロ◆🐴🐬 @tyoro1000

はーん、なるほど エンジニアは大変だな()

2021-05-06 08:28:32
残りを読む(6)

コメント

yuu000000 @00yuu00 2021年5月6日
カードの認証ってほぼ書かれてる情報で済むのがそもそもセキュリティガバガバだよね
112
たらこスパ @mmz104 2021年5月6日
前にも投稿者のIPアドレスが見える問題起こしてたよね。技術力低すぎでは
70
ティルティンティノントゥン @tiltintninontun 2021年5月6日
ヨドバシカメラのサイトでクレジットカードセキュリティが問題になったとき、念のためと見てみたら一件不正利用されていたのが見つかった。セキュリティコードを入れなくても通るのと、何回ミスでもロックされないからとやられたんだよな。
4
hignon @higunonno 2021年5月6日
利便性を確保しつつ悪知恵の先回りをしなきゃいけないからこういう設計は大変だな。自分は不正利用の類はもう背乗り以外はかすり傷の精神で生きてるけどよく分かんないまま過剰反応するユーザーも居るからな
4
minstrel @minstrelatElore 2021年5月6日
利便性とか以前の問題だよね。倫理観がおかしい。
3
alan smithy @alansmithy2010 2021年5月6日
意識高い系はセキュリティガードがひくい
37
ながいずみ(個人用) @nameriizumi 2021年5月6日
この脆弱性、note使ってる人が攻撃対象なんじゃなくて、理論上クレジットカード持ってる全ての人類が攻撃対象なのがタチ悪いよね…直るといいな…
174
五月雨山茶花蝉しぐれ @taken1234challe 2021年5月6日
nameriizumi こういうの見ると数字や文字程度の情報じゃあもう対応できないのかと思う。やっぱ生体認証がスタンダードになるのは宿命だね。ブルートフォースされてしまう。
1
らっともんきー @ratmonkey36 2021年5月6日
taken1234challe よっしゃ!コロナワクチンで5G人間になれば問題解決やな!(ぐるぐる目
11
金目の煮付 @kinmenitsuke 2021年5月6日
元々、対面使用が当たり前の時代に作られた仕組みですから、昨今のネット社会では合わない要素も出てきますよね。あの手この手で対策はうちつつ、従来の仕組みが変えられないのが問題ってとこでしょうか。
24
Nakayuki @nakayuki805 2021年5月6日
こういう不正入手カード有効性確認って慈善団体への寄付が多いイメージあったけど登録不要で課金できるサービスもターゲットになるのか
4
人間ジェネリク @DividedSelf_94 2021年5月6日
さすがにこれで叩かれるnoteが可哀想
11
maxUNKO @max_unko 2021年5月6日
ああ、だからdlsiteに限らずどこも最近ゲスト購入消えてるのか
29
ponta @ponta39566439 2021年5月6日
DividedSelf_94 PayPayでもサービス開始時にアプリで無限試行ができて叩かれてたよ
29
人間ジェネリク @DividedSelf_94 2021年5月6日
ponta39566439 いま試してみたけど試行回数制限ありましたよ?(対策されたのかな?)
1
ただのいしころ @ishikoro20211 2021年5月6日
有効性チェックって言うけれど、これがセキュリティコードを入力しなくてもというのならともかく。それも入力しなければ判定できないわけだし、というか、今のマルウエアはセキュリティコードまで筒抜けなのか?(フィッシングサイトでそこまで入力してしまう場合を除く)
0
おねむ @onemu1846 2021年5月6日
有効性チェックってことはセキュリティコードまでバレてる状況なのか? だとしたらその状況に陥ってる段階で終わっとると思うけども……
17
雲雀っちゃ @anas1yam 2021年5月6日
これセーフティともセキュリティとも異なる観点だなあ 悪用可能性とでも言うべきか
2
人間ジェネリク @DividedSelf_94 2021年5月6日
うん、やっぱりクレカ番号もセキュリティコードも総当りやってると5回めくらいで弾かれますよ。「①自分でチェックせずに悪用されると主張している。②noteの社員が徹夜で直した。」どっちだろう。
17
RAIYA@提督 @RAIYASB 2021年5月6日
サービスの仕様設計段階での考慮漏れだから、エンジニアだけの責任じゃないな
1
hizen31415 @hizen31415 2021年5月6日
これってカード盗まなくてもカード番号の総当たり攻撃ができるんじゃね?
32
jpnemp @jpnemp 2021年5月6日
anas1yam ドコモ口座と似た話かな。それ自体は問題なくても、脆弱性を突く攻撃に利用されやすいシステム。
3
人間ジェネリク @DividedSelf_94 2021年5月6日
もし「ゲスト購入できるのはよくない」というだけで叩かれてるならさすがに可哀相な気がします(そんなECサイト腐るほどあるので)
24
Shun Fukuzawa @yukichi 2021年5月6日
僕もnote を責める理由がわからない。これ以上にセキュリティ上どんな対応が必要なのですか?
11
おやすみ(ねむねむ) @oyasuminet_00 2021年5月6日
試行回数制限 3Dセキュア リスクベース認証 あたり入れとかないと
3
せんたく @senn_taku 2021年5月6日
重箱の隅だけど、技術力じゃなくて設計じゃないかなと
13
山幸 @yamasachi267 2021年5月6日
noteを叩いている人は、たぶんnoteのたびたびの炎上案件をみて普段からnoteをいけすかないサイトだと嫌っていて、叩ける格好の材料だと反射的に思ったからだろうと思う。私もnoteには良い感情を持っていないので気持ちはわからんでもない。
17
有希猫ヒメ @ayano_fox 2021年5月6日
一つ穴があると他にも穴があると推測される。まるでGみたいだな……
1
vandalise @vandalise7 2021年5月6日
PayPayが総当たり攻撃に使われた時のまとめ https://togetter.com/li/1299521
8
kartis56 @kartis56 2021年5月6日
hizen31415 カード名義人と期限が要るから多少はね
7
unbonvinblanc @unbonvinblanc1 2021年5月6日
paypayでもドコモ口座でもやられてるんだから今どき回数制限つけていない甘さは批判されるでしょうよ。
6
kartis56 @kartis56 2021年5月6日
vandalise7 ponta39566439 カード名義すら入力不要でダメなやつ
3
enopon @enopon2668 2021年5月6日
onemu1846 セキュリティコード保存しちゃいけないのに保存しちゃってるサイトとかあって、そこから情報流出とか普通にあるからね。日本の例だと以下とか https://www.itmedia.co.jp/news/spv/1305/27/news131.html
0
RGB000 @19666_61 2021年5月6日
そもそもネット上で、クレカ番号・名義・有効期限・セキュリティコード(笑)だけでホイホイ決済できるのがおかしくて(3dセキュア使え)
5
kaneko @kaneko_hk 2021年5月6日
DividedSelf_94 『一罰百戒』を狙っているのかも。noteひとりを徹底的に叩くことで他のECサイト震え上がらせ対策促すという。
0
syukusyukusyuku @syukusyukusyuk1 2021年5月6日
noteのIP流出が起きた楠栞桜騒動(ドルアンec騒動)の時って、noteのソースに『情報が記入されて丸出しになってたIPの項目』の他に、『情報が記入されてないクレカ情報の項目』が発見されてるんだよね。 『メンテに入った2時間内で掘られたnote使用者がクレカ登録してないだけ』だった可能性を鑑みると、シャレにならない。逆張りしてる人もいるけど、流石に尾を引くよ。
0
Shun Fukuzawa @yukichi 2021年5月7日
syukusyukusyuk1 逆張りじゃなくて、何が問題という話がはっきりしないので、指摘するならはっきりした方が良いというだけ。少なくとも試行回数制限はあるみたいだけど。それを突破されているなら問題。
5
kartis56 @kartis56 2021年5月7日
yukichi こういうのうっかり試行錯誤してブラックリスト乗りたくないから試せないやつだよな…
0
Di.Of.Trディテクタ @cryingsnake12RM 2021年5月7日
そも手の世界では有名な「Credit Card Generator」で導き出した番号が正当かどうかを確認するのにつかわれていた可能性がありますね。 ゆうちょ銀行のmijicaと少し前のKyashを思い浮かんでしまった。 所有者名がみんな一緒だったし。
0