【2段階認証で不正ログイン】被害者「カード会社に不信」イオングループ
■ このスレッドは過去ログ倉庫に格納されています
https://www.asahi.com/articles/ASM6F7HJ6M6FUTIL03D.html
2段階認証で不正ログイン 被害者「カード会社に不信」
サイバー攻防 有料会員限定記事
荒ちひろ
2019年6月13日23時19分
イオングループが発行するクレジットカードで、会員サービスに何者かが侵入し、少なくとも約2200万円超の不正な決済が発覚した問題。自身の会員向けページに侵入された男性が朝日新聞の取材に応じ、てんまつを語った。
「パスワードの変更を承りました」。今月2日夜、京都市の自営業の50代男性のもとに一通のメールが届いた。差出人は、男性が利用していたイオングループのカードの運営側だった。
男性はパスワードを変更した覚えはなく、当初は詐欺を疑った。だが、メールはカード会社側の正規のアドレスから届いていたことを確認。すぐに自身の会員ページにログインした。
すると、思いがけないことが起…
有料会員限定記事こちらは有料会員限定記事です
有料会員になると続きをお読みいただけます
残り:448文字/全文:722文字 【#自民党 】「ハッシュタグ2つをつけてツイートするとTシャツがもらえるよ!」 ファッション雑誌「ViVi」と自民党コラボ、批判相次ぐ
https://asahi.5ch.net/test/read.cgi/newsplus/1560229488/ ▼ネット上のコメント
・Payとやらはセキュリティコード登録なしにクレジット使えるってこと?ガバガバじゃんね
・PayPayはソフトバンク・ビジョン・ファンドが投資するPaytmと提携しており、ソフトバンクが出資する中国のアリババグループがPaytmへ技術協力を行っている
つまり、PayPayのバックグラウンドにあるのは、アリババの電子決済サービス「支付宝(アリペイ)」って記事もこわい
・テレビで言わない事ですね‥報道してるのをまだ見たことない イオンだからねイオン
そんなとこでカード作る奴のがあほ 中国と自滅するソフトバンク
■中国産アプリ TikTokの危険性
TikTok(ティックトック、中国語名:抖音短視頻)は、中国のメディア企業Bytedanceが提供する短編動画共有アプリケーション・SNS。
日本国内では若者を中心にユーザー数が増加しており、中国国内では最大のユーザー数を誇るアプリである。創設者は張一鳴。2016年9月にサービスが開始された。
■2018年10月1日 - ソフトバンク、米投資ファンドKKR、同じく米国のジェネラル・アトランティックなどの企業が、Bytedanceへの出資を表明。 正規のアドレスwww
アドレスなんて偽装出来るんだぞ イモビは絶対に破られない事になっている
だからイモビ付きの車が盗まれたら盗まれた人の責任
3Dセキュアは絶対に破られない事になっている
だから3Dセキュアで決済されたら漏らした人の責任
消費者庁、仕事しろ アマゾンからアクセス停止にしたんでこのURLから利用再開手続きしろってメール来るあれの仲間か >>1
南北朝鮮人の卑劣さは、チョンポップの人気偽装の手口にあらわれているからな。
サクラの在日朝鮮人を観客役として大量動員した人気偽装コンサート、
日本人になりすました人気偽装カキコミ、
パンストを被ったような朝鮮顔の過剰整形・厚化粧、
ユーチューブの再生連打、「いいね!」連打は、
朝鮮人がいつもやっている汚い手口だからな。
韓流アピールしている人のほとんどが在日朝鮮人だってことはバレているから。
だいぶ以前から在日企業や在日学生、在日系メディアを総動員した人気偽装をやっている
【韓流】やはり、K−POPチケットを買っていたのは日本人ではなくて在日朝鮮人たちだった[2012/7/6]
https://s.webry.info/sp/14819219.at.webry.info/201201/article_8.html
. ああ、2段階認証を突破する手口かな?
メールのURLとか踏ませて偽サイトに誘導して、JavaScriptか何かで入力値とかを裏でこっそり取得・送信して、その値ですかさず正規サイトからログインしてしまう
って奴だったと思う 2段階認証って普通はauthenticatorでOTP使うやつだけど、メールでパスコード送信する奴かな
あれを2段階とか言うのやめてほしいよね
docomoとか未だにあれやってるし 欧州の10倍の手数料
欧州はちゃんと手数料公開
とっくに終わったセキュリティの寄生虫に
まだお金を払うバカいるのか 位置情報を偽装する程度でポイントもらいまくれるようなぽんこつシステムの会社だからな。
何もかもがザルシステムなんだろうね。
イオン銀行とかに金置いてる人はさっさと移動したほうがいいと思う。 なにを言ってももう遅い、自己紹介が終わりの始まり人生終了でーすwwwwwwwwwwww 記事が読めないからわからんが、ようするにイオンがクソって結論なんだろ? >>24
前逮捕されてた奴か
手動でやってたんだっけ? ヲカダイオンならアタリマエー
チョンコダイスキイオンDEATH!! 重要な変更は二段階認証複数回入れさせないとダメになってきてるっぽいね そもそもパスワード変更されたのにログインできんのかな?
いつもの作文かな? >>35
ログインしたらログインできませんみたいな画面が出てきたってな流れになるんじゃねえの
ログインしたって書いてんだからログイン出来てないとおかしいだろ!ログインしようとしただろ!
みたいなのは分からんでもないが
まぁ有料会員じゃないから思いがけないことが起きた、購入履歴に〜みたいにつながっていくのかもしれんが アドレスは偽装できるから、
変なメール来たら電話で確認するのが一番。 https://www.asahi.com/articles/ASM6F6STRM6FUTIL034.html
イオンクレジットサービスによると、何者かが大量のIDとパスワードの組み合わせを立て続けにログイン画面に入力する不審な動きを、社内のシステムが5月29日に検知した。
調べたところ、前日の28日から6月3日にかけて実際にログインできた例が1917件あったことが分かったという。
このうち708件では会員のカード情報を使って決済されており、総額は2204万円に上った。同社は警視庁に被害を相談しているという。
会員向けのページでは、カード情報の一部しか表示されない仕組みだが、なぜ不正に決済できてしまったのか。
同社の説明で、ネットサービスのスマートフォン向けアプリが悪用されたことが分かった。
会員ページにログインすると、連絡先として登録した電話番号を変更することができる。何者かは電話番号を別のスマホに変更し、変更先で会員向けアプリにログイン。
別の決済アプリと連動させることで、不正な決済を可能にしていた。
同社の説明では、会員のカード番号やセキュリティーコードが流出した形跡はないという。(荒ちひろ)
これ? 別の決済アプリで大体予想できたけどコレ…
ちょっとイオンのアプリで検証してみた
IDとログインパスワードを偽サイトか中間者攻撃・もしくは使い回しでの流失で取得
それを利用してイオンカードアプリでログイン
ログイン後パスワード変更
登録電話番号変更
イオンカードアプリでApplePay登録
不正に変更した電話番号にSMS認証がとどく(w)
ApplePay登録完了
不正に使いたい放題で笑った
結論としては フィッシングか使い回しが原因
対処としては
ログイン時に2段階認証を義務化しろ(もしくは会員情報変更時に二段階認証を実施しろ)
IDとパスワードは使いまわしするな
プロバイダーのメールはSPF・DKIM・DMARCに対応してフィッシングやスパムなメールが届かない用にすることを義務化しろ
フィッシングに引っかかるな 2要素認証が2要素になってなかったのでは?という話
IDとパスワードが別のサイトで漏れてリスト化される
↓
同じIDとパスワードでイオンカードのサイトに不正ログインされる
↓
住所氏名生年月日電話番号等はこの時点で漏れる
↓
電話番号を書き換えられる(機能停止中のため、書き換えにカード情報が必要だったのかは不明
↓
書き換えられた電話番号宛にSMS認証される(推測
↓
犯行者のiPhoneでApplePayでiDとして使えるようにされて不正利用された(推測 >>39
あら、被ってしまった
検証までされたのねサンクス ■デタラメ金利発覚、、、イオン岡田ファミリー金融企業イオンカード
システム障害10年放置の犯罪的所行イオンカードで大量過剰請求、、、雑誌選択
https://www.sentaku.co.jp/articles/view/15896
根深きイオン銀行の過剰請求システムに日割り計算機能事実上なし、、、日経コンピューター
https://tech.nikkeibp.co.jp/it/atcl/column/16/050900103/051100002/
システム障害放置に日割り計算機能事実上なし
未だ日割り計算システム直らず
未だイオン岡田兄弟謝罪せず
デタラメ金利発覚、、、なんと隠蔽交錯担当なんと小室圭パトロン奥野法律事務所弁護士www.
イオン銀行認可時、、、なんと金融庁金融審判官は小室圭パトロン奥野法律事務所弁護士www.
イオン銀行認可時、、、なんと法令等遵守調査室も小室圭パトロン奥野法律事務所弁護士www.
もう癒着www. PCからMyPageにアクセスすると二段階認証メールが来るのに
アプリや携帯からだと二段階認証メールなしでログインできる謎システム
玄関はセコム+KABAキーだけど勝手口は美和のディスクシリンダー(危険)でセコム無しみたいな危険な運用だよ ■小室圭パトロン奥野法律事務所とイオン岡田兄弟ファミリー企業との関係
イオングループ中国副社長
奥野善徳
http://www.thinkglobalthinkhk.com/jp/info_speakers_yoshinori_okuno.htm
奥野法律事務所所長
奥野善彦
奥野法律事務所特別顧問
イオングループ中国事業顧問
http://www.okunolaw.com/profiles/yamaguchi.php
小室圭パトロン奥野法律事務所とイオン岡田兄弟ファミリー企業との関係
二人三脚www. ■奥野善彦弁護士のプロフィールや経歴
秋篠宮と小室圭との関係
https://jamaica7.com/archives/4794
■秋篠宮家のお噂
小室圭の皇室利用ヤバい噂や謎について最新情報
http://various-search.com/akishinonomiyakeouwasa-komurokei
イオングループ中国副社長
奥野善徳
奥野法律事務所特別顧問
イオングループ中国事業顧問
イオン岡田環境財団理事は民主党政権元中国大使の丹羽のお爺さん
きれいにつながってしまうw そもそもこれ2段階認証プロセス自体は悪く無いんだよな。
パスワード変更のプロセスが頭おかしいだけで
なんでパスワード変更時に2段階認証されないのか謎だけど クソかっぺに転勤させられて近所にイオンしかないが作ってない
大正解だった >>1
>有料会員限定記事こちらは有料会員限定記事です
クソボケがー、そんなソース使うなやアホ ■ このスレッドは過去ログ倉庫に格納されています