【クレカ】PayPay、クレジットカード登録画面に脆弱性か セキュリティコードが総当たりで特定可能な危険性★3
■ このスレッドは過去ログ倉庫に格納されています
PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も
(略)
こうした不正利用の背景についてSNSでは、「クレジットカードの追加」の方法に問題があるとの指摘が上がっています。あるユーザーはクレジットカードの「セキュリティコード」を複数回間違えてもロックがかからなかったと報告。総当たりでセキュリティコードを探れる危険性があるとしています。編集部でも実際に試してみたところ、カード番号と有効期限を入れてから、セキュリティコードを10回ほど間違えても特にロックはかかりませんでした。
セキュリティコードを間違えまくってもロックはかからず(PayPayアプリ画面より)
https://image.itmedia.co.jp/nl/articles/1812/16/kikka_181216paypay003.jpg
(全文はソース)
http://nlab.itmedia.co.jp/nl/spv/1812/16/news020.html
★1 :2018/12/16(日) 20:12:22.62
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1544974699/ >>277
あのパスワードもカード会社が「この人の信用度だとこの金額以上はチェックがいる」みたいな独自判断しているので
同じ店でカード払いした時にパスワード入力を求められる時と求められない時がある
低い金額でも引っかかったときは「信用されていない」ってことだからちょっと傷つく 電子マネーもクレカなどのキャッシュレス化は、業者を儲けさせるための利権w
後、優遇してるのは外国人な
ひでえ国、国民より外国人を優遇してるw ロック機能省いた理由がマジでわからない
改善するまでサービス停止にできないものか >>312
本当に回数無制限で総当たり出来て「正しいコード」を教えてくれるサイトならそうなるでしょうね。 そもそもpaypay決済が、電子マネーとは思えないような手間がかかるしな
大人しくクレカ使った方がいい >>313
今は金額だけじゃなくて、買い物の動向とか場所だの下手すりゃ品目のカテゴリとかも見ての不正防止の判断だからあまり気にすんなw 今、JCB以外で使ってる三井住友,UC,イオンを確認したけど、無事だった セキュリティコードの確認だけして
ほとぼりが冷める頃に大きな買い物に使われる可能性もあるからな クレカに関する管轄省庁は2つあって
・ショッピングに関しては経産省
・キャッシングに関しては金融庁
らしい 今のところセーフだが、毎日チェックするのは相当な時間ロスやで。 >>281
うん
セキュリティコードは1000通り
有効期限は6年として72通りだけど
狙うなら数が多い「残り1年以内」だろう
そうすると1万回やれば1回当たる
ここまでだと低価格PCでもできちゃうね
あとはクレカ番号
上位6桁はクレカ発行会社
次の2桁も固定?(14,15,16桁とクレカ会社によって桁数が違うのを合わせるため)
最後の1桁はチェックビット
こう書いていくとちょっとした知識あればいけそうだな
クレジットカードの有効期限は、主に1年〜2年、あるいは2年〜3年で設定されることが多く、
場合によってはカード発行から5年間有効として発行されることもあります。
有効期限は最長でも5年、一部のカードでは6年が最長となっており、10年を超える有効期限のクレジットカードはありません。 >>313
端末使うか使わないかの判断て、カード会社じゃなくて店側じゃねーの? 3万以上は本人確認するとかだろ?店も怠慢ジャネーノ? >>270
磁気ストライプにはセキュリティーコード番号が入っていないと思われる。
スキミングで番号だけ抜かれても不正使用されない。真のカードを持ってるかどうか。 日テレは昨日から不正利用の報道しないどころか
不自然なアゲアゲで酷いな 消費税の関係でクレカもとうと思うんだけどうすればいいの
PayPayの問題が静かになってからのがいいかな >>322
それな。
半年後、1年後、数年後。
寝かしとくかもな。 >>20
祭に参加しなくても抜かれるってのが、分からないのか?
本当に頭悪い奴はどうしようもないな >>317
そこの、どう考えても利便性がない事の突破が100億円還元だもんな。普通に考えれば他の決済システムに比べて100億円程度利便性が悪いって話だもんなw
>>327
不正利用の際に店が責任を取るつもりならはなからガン無視しても構わないw セキュリティコードが777の人っているんかな?
大当たりじゃんね(笑) 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話私家版 https://www.amazon.co.jp/dp/B07KY2T4M1
続・法窓夜話私家版 https://www.amazon.co.jp/dp/B07HZ49V46/
高校を卒業した学生の語学能力が、これほど貧弱で物の役に
立たないのは何故なのか。抜群の語学力を誇り、東大文学
部長までつとめた筆者が、外国にいる若者が外国語を習得する
困難さを正面から取り上げ、正則(期待されるような)
語学教育の重要性を指摘する、英語教育のための基本書。
外山正一『英語教授法』 https://www.amazon.co.jp/dp/B07KN8GR27
fhq >>327
本人確認するためのデータがどこにもないw
来た人の身分証明書をみても、本人かどうかわからないw >>328
でも表裏をコソーリ画像スキャンして、足がつかないスマホ用意すれば
明細とかでばれるまで他人のクレジットカードでPayPay使い放題って事できちゃうな、怖いな >>10
この件と事後の対応が悪すぎたので何があってもここに金は払わんと決めてる 警察早くこの件で動けよ、ソフトバンク崩壊させろよ
総務省はソフトバンクにすべての通信事業の権利剥奪しろよ これpaypay総当りで特定できたら他サイトでも使えちゃうじゃん?
paypayで不正利用できちゃう!だけで済まないんじゃないの?
普通に流出事件と一緒でしょこれ
しかも普通の流出と違って登録してるクレカ番号の流出じゃなくて全て(厳密にはJCBとか除外だけど)のクレカが対象っていう 楽天カードとAmazonカードとpaypayは
どれがやばい? PayPayに登録してないから大丈夫! → カード番号総当たりだから関係無いです
PayPayにカード番号登録してるから大丈夫! → 複アカウントで登録出来るから関係無いです
アカウント削除したい… → 出来ません
でOk? ●ソフトバンクPayPayでまた重大事故、誰のカードでも登録できる欠陥仕様
また謝罪会見なしです。
pay payさん、カードの不正利用が続発しキャンペーン終了
http://alfalfalfa.com/articles/241185.html
被害額も100万とか半端ないから組織犯罪者に悪用されています
https://i.imgur.com/dqQ、CGQP.png
https://i.imgur.com/Z2bL、zoX.jpg
マスコミも取材してますがソフトバンクやLINEなど韓国系企業のイメージダウンになるのでマスコミは報道スルーですかね。
https://i.imgur.com/YC、Pc01F.jpg
ペイペイは杜撰な仕様で本人確認の暗証番号も生年月日確認もなくカード登録できるため、他人のカード番号を登録しペイペイを利用できる欠陥を利用されている
モバイルSuicaは、氏名と生年月日を登録しますが、これと一致した本人カードしか登録できない仕様ですから他人のカードは登録できません。
ペイペイは氏名も生年月日も入力しませんから他人カードが利用できてしまいます。
JCBが拒否している理由はこの低いセキュリティ仕様でしょう。
日本の悪質店や韓国や中国の店でカード使うとカードに印刷されたカード番号や有効期限、セキュリティ番号を写真撮られてペイペイに登録されてしまう
ペイペイサービスが停止されるまでは怖くて店でカードを使えない。
スマホも振り込め詐欺グループ御用達の飛ばし携帯や香港等でプリペイドSIMカードを買ってくれば足がつかない。
通販で、入手したカード番号利用しても宅配で足がつき難しいが、ペイペイなら足がつかないから組織犯罪者が待っていたようなサービスだ。
更にペイペイは1回の決済で誤って複数回の決済が発生する二重決済トラブルも起きた。
PayPay広報によると、原因は決済処理が集中したことによる輻輳(ふくそう)。
決済端末から何度も処理を投げかけるも応答がなく、決済が完了したにもかかわらず、処理を続けたことで、二重決済が起きてしまったという。
申告があった人のみ減額処理していると言うから酷い話だ。 よく考えるとpaypayで正しいセキュリティーコード確認したあと
他の決済で応用すれば不正利用の範囲はもっと広げられるなw 安倍はITの知識どれくらいあるの?
IT知識ない政治家がキャッシュレスだのなんだの口にするなよ
これからの時代全官僚も議員もIT知識が最先端レベル維持するの義務化しろ >>336
店員「登録したカード見せて下さい」
客「ハイ」
店員「ピッ」
店員「確認できました、それではこのQRコードを…」 >>270
このセキュリティコードは、印字してある現物を手元に持ってることをチェックするためのものだから
昔は通販で買うと口座の引き落としの記録をコピーかカードの裏表をファックスしろって
言ってくる米国の店がいっぱいあった、これも同じ理由ね 100億円の損害じゃすまない。
今すぐPayPay全停止しないと大変なことになるぞ これこんな脆弱だと100億還元とか
よっぽどメリットないと普及しないと思う
だってそのままクレカで買ったほうが楽だし >>322
もしかしたら忘れた頃にJCBカードでドカンとやられるかもしれない >>338
アメックスに至っては表面だけでOK
クレカの表面にカード番号、有効期限、氏名、セキュリティコードと全部ある
Visa、マスターカード、ダイナースクラブカードには3桁のコードがあります。このコードはカードの裏面の署名欄の右上に位置しています。
アメリカンエキスプレスには4桁の番号があります。これはカード表面のアカウント番号の上に印刷されています。 >>334
さすがにゾロ目は省かれてるんじゃ無いの?
盗み見されても、覚えにくい様に、3桁全ての数字は異なる様に
自分なら、乱数の発生を決めるわ payoayの対応店が増えればネズミ算式に被害が増えるんじゃないか >>348
店員に見せたカードと登録したカードが一致するかどうかは
それではわからないのでは… 今は不正利用カードの弾数を揃えてる状態やろ
準備できたら一気に行かれるぞ
中国舐めんな 東京なら、日本人が微罪で逮捕されて
支那チョンは何をしても警察野放でも納得する
今がそんな感じだし。
NHK近くの暴動はカメラだけでくまなく逮捕したのにね。
今回は捕まえないんだろあなぁ。 ∧_∧
<丶`∀´>_| 本人確認は別にいいニダ
/ つ|口|
しー-J |田|
 ̄
>何らかの手段で入手したカード情報を第三者が登録して利用した可能性
http://i.imgur.com/0rmA9mN.jpg
>携帯電話不正利用防止法では、携帯電話が振り込め詐欺などの犯罪に使われるのを防ぐため、
>契約の際には、運転免許証などによる本人確認を義務づけています。
http://i.imgur.com/GoBbDzD.jpg
男が本人確認せずに携帯電話を7000台貸し出し詐欺利用 1億円近くの売り上げ 2016年2月
http://i.imgur.com/rwCjKxC.jpg
本人確認せず携帯SIMカード貸し、振り込め詐欺に利用で1億3千万円被害 2013年11月
http://i.imgur.com/hWLK9K9.jpg
匿名性の高いネット掲示板で口座の売買 約110万円を売り上げ 2016年3月
http://i.imgur.com/KstEJFy.jpg
架空口座開設に悪用 自宅から約360通の健康保険証 2016年1月
http://i.imgur.com/1itqkel.jpg
偽造カード40枚所持 2018年6月
http://i.imgur.com/9rMhugb.jpg
オレオレ詐欺6度目の逮捕 2014年6月
https://archive.today/18WVC
何かとんでもない請求が来そうで不安だな
精神的被害あるぞこれ さすがに4~5回でロックかけてカード会社に連絡するようにしろよ >>350
意図的に脆弱性を放置して荒稼ぎさせておいてソレを理由に100億還元前に終了させれば業者みんな丸儲けだよな
ソレ狙いじゃね 100億円ばらまける資金はあるが
セキュリティには1円もかけたくない
わかります。ww ソフトバンクらしいですw こんな糞決済システム、還元金だけ貰ったらbyebyeだわ サイバーセキュリティ桜田「これは私に関係ある話でしょうか?」 テレビはやたらぺいぺいは悪くないとか言ってたな
忖度してるみたいで気持ち悪かった
明らかにセキュリティーに欠陥あるだろこれ
一刻も早く改善してほしい ネットで使ったことないクレカも利用履歴調べた方が良いね
店からスキミングで漏れてるってこともあるし 仮にセキュリティコード総当たりでクレカ登録に成功したとして、買った物の届け先はどうするんだろ?
馬鹿正直に不正使用者が自宅を書いたらあっさり犯人として登録されるんだし
あれこれごまかしたところで、その場所に本人が現物を取りに来たところを抑えられたらおしまい >>28
っていうかペイペイ使ってない奴にとっては100%ペイペイのとばっちりだよな
登録してすらいないのに糞サービスのせいでクレカ勝手に使われる可能性あるとか死ねよと思う 3桁で且つ数字のみだから総当り可能なら処理の遅延考えても10分ぐらいで突破されそう >>375
中韓が絡むとあからさまに忖度が働くって歪んでるよな マジかよ
じゃぁクレカ持ってる奴全員危ないんじゃないかよ
ひでぇなこの決済 これってPayPay登録してもしてなくても被害にあうかは関係ないってこと? 安倍のクソ野郎のキャッシュレス政策に忖度して報道しないんやろ >>384
ペイペイ関係して無くても
やられるって事 >>371
同胞の東京オリンピックを思い出したよ。 >>378
配達が入る通販とかと違って家電量販店とかでその場で商品を受け取れるから
アシがつきにくいんだと >>392
手を出さなくてもやられるつってんだろ! ソフトバンクとヤフーはテロ支援会社である
ソフトバンクとヤフーはテロ支援会社である
ソフトバンクとヤフーはテロ支援会社である 👀
Rock54: Caution(BBR-MD5:1341adc37120578f18dba9451e6c8c3b) セキュリティコードがひかっから無いなんて
甘いとかそういうレベルじゃなくて犯罪 >>385
話題そらし
ねえよ
といいたいがここだと少しは疑ってしまうw ソフトバンクの謝罪がないという事は禿げも犯罪集団のグルじゃないのか >>391
ペイペイが総当たり登録できるから
適当なクレカにセキュリティコード総当たりで試して
paypay使って不正利用されるってことだよね? ロックかからなくても決済できるかまでやらなきゃ意味ないだろ 支那チョン同胞の東京のマスゴミは
ペイペイ悪くないニダ連呼か >>1
まさかまだ対策とってないの?
だとしたら一番悪用してるのpaypay関係者じゃねえのって勘ぐってしまうなw
カード会社も保障対象外にしそう。もちろんpaypay払いでな なんか
ソフバン潰れる前兆なんじゃないの?これ
不祥事立て続けに起きすぎ 今回の件でJCBではpaypay使えないことで今のところ不正利用はない
よって余計にpaypay発祥の不正利用が浮き彫りになった
でおk? >>401
paypayでセキュリティコード判明したらよそで使ってもいいわけだしなw セキュリテイコード以外も怪しいな
有効期限もできそうだし下手すると下四桁総当たりもいけるかも ■ このスレッドは過去ログ倉庫に格納されています