【クレカ】PayPay、クレジットカード登録画面に脆弱性か セキュリティコードが総当たりで特定可能な危険性★3
レス数が900を超えています。1000を超えると表示できなくなるよ。
PayPay「利用した覚えのないクレジットカード請求」に注意喚起 クレカの登録方法に問題があるとの指摘も
(略)
こうした不正利用の背景についてSNSでは、「クレジットカードの追加」の方法に問題があるとの指摘が上がっています。あるユーザーはクレジットカードの「セキュリティコード」を複数回間違えてもロックがかからなかったと報告。総当たりでセキュリティコードを探れる危険性があるとしています。編集部でも実際に試してみたところ、カード番号と有効期限を入れてから、セキュリティコードを10回ほど間違えても特にロックはかかりませんでした。
セキュリティコードを間違えまくってもロックはかからず(PayPayアプリ画面より)
https://image.itmedia.co.jp/nl/articles/1812/16/kikka_181216paypay003.jpg
(全文はソース)
http://nlab.itmedia.co.jp/nl/spv/1812/16/news020.html
★1 :2018/12/16(日) 20:12:22.62
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1544974699/ >>815
> カード発行会社はエラーでかえしてるんだから、後はPayPayはそれを受けてロックすれば良いのにザルシステムなの?www
そんなシステムなわけ無いだろ?
カード発行会社が使えるセキュリティコードかどうかをエラーで返したら、
詐欺会社は、簡単にセキュリティコードを知ることが出来るじゃん
1. 詐欺会社が架空の会社を作る
2. 架空の会社がクレジットカード決済に対応する
3. 架空の会社が適当な番号でセキュリティコードが使えるか、カード会社に問い合わせる >>12
毎回クレカ会社のサーバーに問い合わせてるの?
1度問い合わせて失敗したら、
番号、有効期限、コードをキャッシュする仕様で、
試行回数を決めるのはアプリ側のサーバーとか? ちょいと調べたが、、
クレジット番号ジェネレータ
俺でもつれれるぞ。
古のBASICでならw ぱいぱいに限らずクレカ登録怖いから多少不便だけど毎回デビットカード登録にして高いもの買う時はその都度入金してるわ・・・まあ、クレカ持ってないだけなんだけど >>817
> 誤入力の繰り返しを検知したら自動的にクレカ会社に通報するのが普通
クレジットカード会社がエラーを返してるんだから
クレジットカード会社は通報されなくても知ってる
っていうか、詐欺会社が作った架空の会社が
総当たり攻撃できるやん。会社自体が詐欺会社なんだから
通報するわけ無いでしょw >>822
PCI-DSSというクレジットカード業界の自主制定ルールがあって
それによると7回以上試行できてはいけないらしいね。
416 名無しさん@1周年 sage 2018/12/16(日) 01:16:38.60 ID:JmFZaxya0
>>407
登録するだけなら間違った番号やセキュリティコードでも恐らく出来る
しかし決済するときに失敗する
それに、PCI-DSSでは本人認証の施行限界数を6回と定めているから
決済失敗を7回やらないと試したとは言えない >>10
おかげで紐付けてたアカウントから身元を特定された人もいるしな >>808
AMEXは日本ではJCBに一任じゃないかな? >>823
> 毎回クレカ会社のサーバーに問い合わせてるの?
> 1度問い合わせて失敗したら、
> 番号、有効期限、コードをキャッシュする仕様で、
> 試行回数を決めるのはアプリ側のサーバーとか?
そりゃそうでしょw
でないとカード仕様限度額超えたかどうかわからないじゃん >>813
セキュリティコードは、スキミングや番号生成から守るため
通販やオンライン認証でカード持ってるかどうかの確認に使う
磁気データには入ってないので
リアルで使うときには使用しない >>791
まだ詐欺のシステムを理解できていない底辺未満が書き込むなよ ぺいぺい、撤退しねーかな…損害はぺいぺいが払うべきだろう。こんな適当に登録できるやつなんか作る方が悪いわ! 番号入力の再試行が無制限であることを公式に認めたらしいな
記者がつぶやいてる まさかと思ったら本当にやってやんの・・・
クレジットカードの登録に失敗しました
繰り返す(無制限にできるらしい)
クレジットカードが追加されました (←入力したコードが正しかったと言う事) >>822
契約もなしにいきなりカード会社に問い合わせなんてできないよ >>805
確かに、PayPalは全く悪くないよな
悪いのはPayPay(笑) >>827
> PCI-DSSというクレジットカード業界の自主制定ルールがあって
> それによると7回以上試行できてはいけないらしいね。
つまり7回以上試行できてしまう、クレジットカード会社の問題というわけか
セキュリティのため、店側はクレジットカードが使えなかった理由はわからないんやで
限度額を超えていたためなのか、カード番号が間違っていたためなのか全くわからない。
カード決済が出来た or 出来なかった の二つしかわからない >>837
> 契約もなしにいきなりカード会社に問い合わせなんてできないよ
詐欺会社が詐欺を前提とした店を作って
カード会社を騙せば可能 大量に盗んだカード情報とセキュリティーコードで、ある日一斉に不正使用するんだな。 キャッシュレス社会になったら嫌でも使用歴、明細をチェックする必要が出てくる
つまり、これはpaypayが身を挺してチェック習慣をつけさせる為にやっている社会実験だったんだよ!
Ω、ΩΩ<ナ,ナンダッテー >>839
いや、エラーコードは返されるから事故カードなのか番号が違うのか有効期限切れなのかはわかるぞ >>840
審査あるけどね
それに不正使用したカードがどこで認証されたかは
必ず追求され、原因を特定されるよ >>790
それどころか、入ってなくても、被害対象ですよ。 >>839
それはカード発行会社側の規定でなくてクレカ登録システムを作ってるPayPayが守るべきルールだってよ 根本的に悪い、セキュリティが緩いのはカード会社だ。
総当りが事実なら、総当りを合法だと認めてるのはカード会社。
カード会社が総当りを認めてて、それに利用者も同意して利用していて、
アプリ側が勝手に制限かけるほうが良くないだろ。
何度も間違えてしまう、痴呆の人とか使えなくなる。 なるべくカードには頼らず現金で生活するようにしてるが通販ばっかりはどうしようもないからなぁ
カード処分して毎回代引きするくらい徹底しないと防ぎようがないし、
密林のマケプレみたいに代引き対応してない場合も多数あるからカードを一切持たないってのは不便過ぎて無理 Yahoo! JAPANカード■ワイジェイカード コンタクトセンター
カードがお手元にある場合
0570-058200(24時間365日 ※メンテナンス時間以外)
以下の手順で解約手続きができます。
1. 自動音声サービスへ電話します。
2. 選択番号:4 (各種変更)を押します。
3. クレジットカード番号を入力し、「#」を押します。
4. 生年月日(和暦 6 桁)を入力して、「#」を押します。
5. 選択番号:3 (解約)を押します。
https://www.yahoo-help.jp/app/answers/detail/p/11241/a_id/95347/faq/pc-detail >>842
割り勘すら男女役職の差別なく均等割の時代来るぜ
俺なら手入力の場合はそれ引いてから残り均等割の仕組み入れるけど >>830
例えばだけど、クレカ会社の仕様が
3分間に3回間違えたらアウト
とかなルールなら、防げたでしょ? NHKと民放キー4局に電凸しといたわ
一刻も早い被害の報道&CMの中止要請 >>839
この手の ミスリードdeドヤ はやはり社員によるカキコなんだろうか? PayPalと間違いそうになったけど、こんな怪しいの使うわけないよね
使った情弱おるの?おらんやろ? 昔作ってたシェアウェア、有料パスワード10回以上間違えると
2回続けて正しいの入れないと動作しないようにしてた > 「セキュリティコード」を複数回間違えてもロックがかからなかった
当たり前じゃん
他人のクレカ番号勝手にいれて誤セキュリティコード何回か入れてロックがかかったら、本人が使えないじゃんw オーソリーって知ってる?
https://balanth.com/credit-card-authorization/
クレジットカードが使えるかどうかを直接調べる方法はない。
実際に1円とかで決済を行って使えるかどうか判断し
決済をキャンセルすることでクレジットカードが使えるかどうかを判断するしか無い
決済できない場合、その理由がセキュリティコードの間違いなのか
カード番号の間違いなのか、使用限度額を超えているからなのか
有効期限が切れているからなのかわからない
もちろんカード番号が間違っているかどうかもわからない。
またセキュリティコードの入力は必須じゃない。
カードを悪用しようとするサイトは、セキュリティコードを種略して
決済するに決まってる。
お前ら「セキュリティコードが無いと決済できない」ようにカード会社に伝えたか?
してないだろ?そんなことできないんだから
これはpaypayじゃなくて、クレジットカードシステムの問題だよ >>847
カード会社って信販会社?
世界共通の仕様なんだろうから
VISAとかMASTERが悪いんじゃないの? セキュリティーコードの無限試行が可能ってのが事実なら
ソフトバンクが、世界中のハッカーに
クレカのセキュリティーコードを教えるツールを
無料で公開中ってことやん
さっさと対応しろ >>857
今回あえてPayPalのアカウント作ったった これもスプレー缶爆発も理由を聞けば起きて当然なことは分かるけど言われないと気づかないよな
セキュリティコードの入力を間違えることなんてあまり無いからロックが掛からないことなんてもともと不正利用するつもりの人しか気づかないだろうし ソフトバンクが上場した途端、4G不通にクレカ不正使用問題・・・しっかりしてー これまではハゲの関連には出来るだけ関わらない様にしてたが存在してるだけで迷惑になるとは >>860
だから、ドコモや楽天が当たり前にやってることをやらないから、PayPayは批判されてるんだよwww
d払い→氏名住所生年月日登録したdアカウントのidパスワード&3dセキュア必要
楽天pay→楽天市場の氏名生年月日住所を登録したid パスワード&初回GPS起動ないとカード登録できない
🔥PayPay→sms認証のみで氏名住所無しカード番号入力だけでつかえる
更に上の2つは先にサービス始まってるにも関わらず、換金性の高い家電量販店ではまだ使えない
ネット販売のように配送するための氏名住所の偽装も要らない&PayPayは実店舗で即大量に換金性家電を購入可能なので大損害に! >>861
詐欺師にセキュリティコードガチャを開放した
禿パイパイの責任だろ 犯罪企業ファーウェイに依存してる会社だからな
これじゃあ運営会社の破産もありえるだろ
破産したらもちろん20%還元なんてなかったことになる PayPay、すごく便利だね
これからはPayPay使ってない男性は、女性にモテないだろうね >>847
痴呆の人はカード決済駄目だろ
後見人付けて支払うべき >>865
上場は19日
だから今は問題を公にできない? >>859
ロックが掛からないことそこが問題点なのにw Amazonや楽天のようにセキュリティコードの入力が必要ないサイトはいくらでもある
https://pcireadycloud.com/blog/2017/10/10/2301/
セキュリティコードを導入しないサイト
ECサイトを利用するときに、このセキュリティコードを要求しないカード加盟店もある。
例えばAmazonでは「1クリック」購入ボタンを押せば、登録してあるカード情報だけで決済が完了し、
セキュリティコードの入力の必要はない。また、楽天市場でも利用するカードを登録する際に
セキュリティコードの入力は求められない。
セキュリティコードは、安全性を高める仕組みではあるが、ECサイトからすれば
悩ましい存在だ。なぜなら決済時にセキュリティコードの入力を求められると、
利用者は正規のカードを準備してコードを確認しなければならない。
これが面倒で、購入をやめてしまう人が少なからずいる。ECサイトでは、
このような「カゴ落ち」と呼ばれる購入者の離脱率にきわめて敏感で、
セキュリティコードの入力をあえて省略しているところもある。 火消し屋来てるね
株式上場前だから禿パイから特別料金貰えよ 知名度低いから事件になってないだけで間違ってもロックが掛からないとこってまだありそう 盗んでも平気、国民を奴隷化家畜にしかみてない銭ゲバが集う街東京 これペイペイで悪用されなくても
セキュリティーコードだけ大量に抜かれる危険性もあるんじゃね 総当りで間単に特定が出来るのならマイナンバーも
間単に名前となら紐付けができるんだろか? 3時のおやつ休憩でも火消しに来るソフトバンク社員
次は仕事終わってから来るよー >>816
被害って捏造するなよ無知な底辺のから騒ぎだよこれw 何も対策されない今もPayPay使って延々と解読作業が進行中なんじゃないの? 番号総当たり出来るならペーペーに全然関わり無くても
クレカ持ってるだけでアウトじゃん
ソフバンは犯罪組織か どっかTVで報道した?????
北海道ガス爆発で、それどころじゃねーか???w あれだけ喜んで使っていたのに5chからは被害報告全然ないな
海外のクレカも登録出来るのに外人も騒いでないし
うちはカード使うとメールくるから不正利用されたらすぐわかるけどそういう設定にしとかなかったってことか >>887
海外のよくわからん電子マネーにチャージとかされそうだよね ネットの片隅でネガキャンしてもpaypayは大好評!
馬鹿な底辺の嫉妬で揺らぐと思ってんのかねw >>886
だから代行APIであるソフトバンクペイメントサービスはPCI-DSS準拠なんだから、クレカ発行会社からエラーうけてなんで対処しないの?
何もしないなら代行してる意味なくね?www このままだとVISAmasterから取扱い停止くらうだろうな ヤフーカード使っていたが来年から楽天カードにするわ
あまりにヤフーのバカ行為がひどすぎるので全く信用ならん
期間限定ポイントはヤフー関連しかつかえないクソ仕様だし >>887
不正取得されたクレカ番号
(ただし有効期限やセキュリティコードは不明で価値なし)が、
有効期限・セキュリティコード付きのお宝に変わる可能性があるかも まともなクレジット会社は使用者を補償する
年会費無料、ポイント多いとかは無視して請求
当然のことなんだが、底辺はそこをわかっていない >>880
で、セキュリティコードが求めれない
Amazonや楽天ではクレカ被害ないんだよね
なぜpaypayだけ不正利用されてるんだ?
クレカ会社は被害があった様子ないけど。
本当にpaypay被害者はおるんか? >>891
ほんとだー変換されたのをそのまま使ってたから
わからなかった。バカなのを知られてしまった 本当の敵は身内にいると思え
不正利用されたと思ったら嫁が使ってた俺みたいなのもおる いい加減、新しいクレカ作れよ
なんだよセキュリティーコードって、三桁しかねーし後ろに書いてんじゃん
64桁にして覚えさせろ >>850
Yahoo!カードだけ解約しても被害は防げない。 >>904
楽天にセキュリティを丸投げのソフトバンクPayPay(笑)
企業として存在価値無いよね?w
@xpGnKDLwenOxJ21
《注意喚起》
楽天カードセキュリティから電話が来て、paypayの不正利用が発覚。アプリすらダウンロードしていないのに8万円が決済されているらしい。(請求は来ないことになりました)
皆さんもお気をつけ下さい。クレカ明細はチェックすることをお勧めします。
https://twitter.com/xpGnKDLwenOxJ21/status/1074214635509735424?s=20
https://twitter.com/5chan_nel (5ch newer account) >>871
ソフトバンクとセキュリティコードを持ってる会社と
両方悪いんだよきっと >>894
>どっかTVで報道した?????
今朝、TBSのビビットで特集してたよ
基本ペイペイは悪くない的な特集で
カード登録時のセキュリティの問題には一切触れず
5chのペイペイ関連スレを見て実情を知ってる人が見ると
むかつくだけだけど… クレカの番号ってどうして誰にでもわかるように記載がされてるんだろう
番号ってわかるようにしてるのは理由があるんだろうか 始まったばっかだし報道しないしpaypayも認めて改善する気がないし祭りはこれから
祭りはまだ始まってないんだよなぁ 100億キャンペーンのポイント使用を狙って加盟店が続々増加中
アホがありもしない被害を捏造してもノーダメwww >>913
次キャンペーンしたら普通に使うからはよしろ >>901
Yahoo!カードだけ解約しても被害は防げない。 >>911
それって楽天の個人情報がお漏らししてるってことか? レス数が900を超えています。1000を超えると表示できなくなるよ。