【クレカ総当たり】PayPay広報「現時点でリトライ上限はない。今後対応する」★6
■ このスレッドは過去ログ倉庫に格納されています
ネット上で、PayPayを経由してクレジットカードが不正利用されたという声が挙がっている。PayPay広報に確認したところ、既存ユーザーがPayPayに登録したクレジットカードの情報が漏えいした事実はないとのこと。考えられるのは、第三者が何らかの手段で入手したクレジットカードの情報をPayPayアプリに入力し、不正に利用している可能性だ。
PayPayアプリでは、クレジットカード番号、有効期限、セキュリティコードを入力すれば、支払い手段としてクレジットカードを登録できる。ただ、クレジットカードの登録にIDやパスワードなどの入力を必要とする「3Dセキュア」には対応していない。また、PayPayアプリでは、セキュリティコードの入力を何度も間違えてもロックはかからない。試しに、クレジットカードの登録時にセキュリティコードをわざと10回間違えて入力してみたが、特にロックはかからなかった。
この件についてもPayPay広報に確認したところ、「(セキュリティコードの入力について)現時点でリトライ上限がないのは事実ですが、本日以降速やかに対処する予定です」とのこと。今後は、一定回数以上間違えた場合、ロックがかかってクレジットカードは登録できなくなる。
https://headlines.yahoo.co.jp/hl?a=20181217-00000057-zdn_m-sci
関連スレ
【ペイペイ】PayPay利用してない人もクレジットカード不正利用被害 アプリに脆弱性
https://asahi.5ch.net/test/read.cgi/newsplus/1545033431/
★1 :2018/12/17(月) 17:46:50.40
https://asahi.5ch.net/test/read.cgi/newsplus/1545049081/
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1545059103/ PayPayは総当たりだけでなく、お手軽偽造カードツールとしても優秀なんだぞ!!
舐めるなよ☆
PayPayのザルシステムのせいで、本来、実店舗用にお手製の偽造カードを使うのに、PayPayでお手軽偽造カードが作れちゃうってことで、○国人様には大人気???
カード番号不正取得した輩が枠一杯まで悪用する輩が集中してるみたい!
d払い→氏名住所生年月日登録したdアカウントのidパスワード&3dセキュア必要
楽天pay→楽天市場の氏名生年月日住所を登録したid パスワード&初回GPS起動ないとカード登録できない
PayPay→sms認証のみで氏名住所無しカード番号入力だけでつかえる
更に上の2つは先にサービス始まってるにも関わらず、換金性の高い家電量販店ではまだ使えない
ネット販売のように配送するための氏名住所の偽装も要らない&PayPayは実店舗で即大量に換金性家電を購入可能なので大損害に! >>1
仕様変更案が間違ってる
3回間違えたらカード会社に通報しろ 誰でも使えるセキュリティーコードクラッキングツール あくまでもセキュリティホールがあっても、
使う奴が悪いってスタンスか。 カード番号も有限だから、流失したり解約した番号を使い回ししてるって事はないのか?
で、こんなリトライガチャ回されたら…… 大々的に脆弱なとこだけ披露して対応しなかったら
模倣犯で被害拡大するばっかりやんけ 決済系の仕事をしてた5ちゃんねらーによると、システムをつくるPayPay側がロックの回数を決めるんだって!!
それもセキュリティコード検証APIは
ソフトバンクペイメイトサービスが提供者?!!
カード会社じゃないってよ(⌒‐⌒)
クレカ発行会社の代わりに代行してる
セキュリティコード検証APIは
ソフトバンクペイメイトサービスが提供者?!
https://www.sbpayment.jp/service/connection/api_system
https://i.imgur.com/hJpMJTi.jpg
375 名無しさん@1周年 2018/12/16(日) 03:27:09.44 ID:fF20/K/d0
>>222
決済系の仕事をした事あるんだけど、一般的には認証のOK/NGだけ。
OK/NGを返すだけの、APIとして提供されると考えてもらえばいいです。
俺のやったシステムだと、認証NG回数でカードを止めるのは、カード会社ではなく
ベンダー依存だったと記憶@10年くらい前
楽天がベターとは言わないし、逆にレアケースなんだけど、カードの発行元が
販売サイトを抱える方が、不正利用対応への自由度は格段に上がります。
602 名無しさん@1周年 2018/12/16(日) 16:55:34.10 ID:hxSJuiFT0
>>580
カード会社直接の問い合わせはないよ
間の代行業者のAPIからの代行 さっきのスッキリで総当たりで突破可能なこと検証されてしまってたな 今すぐサービス止めろよ
現在進行形で犯罪者に使用されてるのに放置ってアホかよ まあ補償が手厚いのがカード会社の良いところだからな
結局直接カード決済が一番安全 楽天にセキュリティを丸投げのPayPayをナメるなよ!!!!
斬新的&革新的アイディア☆
@xpGnKDLwenOxJ21
《注意喚起》
楽天カードセキュリティから電話が来て、paypayの不正利用が発覚。アプリすらダウンロードしていないのに8万円が決済されているらしい。(請求は来ないことになりました)
皆さんもお気をつけ下さい。クレカ明細はチェックすることをお勧めします。
https://twitter.com/xpGnKDLwenOxJ21/status/1074214635509735424?s=20
https://twitter.com/5chan_nel (5ch newer account) シナに金が抜かれきった後でようやく対応するって事でいいね? 今回、paypayハッキングツールでカード番号、期限、セキュリティコードを抜いたカードを塩漬けにして
次回、番号と住所氏名がどこかで漏れたときに使い放題 今ならpaypay店頭利用で不正の自己申告で大儲けやで >>21
わざとじゃないぞ!!
11月の中華家電買取り店オープンにソフトバンクが花を贈呈。。
https://i.imgur.com/IaaRHTp.jpg 即、停止させる案件と思うが
公的機関が止めさせることできないのか あ、禿げ絡みはならチョンが金抜いてる可能性の方がデカイか? 本日以降速やかに対処する予定
本日とはいってない(ドヤッ
つまり1年後、10年後の可能性もあるということっ!(ドヤッ 15日にはPayPay公式Twitterが安全宣言したから安心♥??なのに疑うの?
https://twitter.com/PayPayOfficial/status/1073830902441041920?s=20
PayPay株式会社
@PayPayOfficial
【お知らせ】
ご自身のクレジットカードに、PayPayから身に覚えのない請求がありましたら、こちらをご参照ください。
略※要は家族と知人が悪い
PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます。
午後3:43 · 2018年12月15日 · Twitter for iPhone
@PayPayOfficial
さん
そういう事ではないと思います。カードの登録方法が簡単過ぎで、第三者でも容易に登録出来てしまうことが問題だと推察します。セキュリティコード三回ミスでアカウントロックすべきです。
@chichiband
@PayPayOfficial
さん
クレカ登録時の名義確認を必須にしてください。あと、3万円以上の決済で本人確認ってちゃんとやられてますか?
@4KChannel_H
@PayPayOfficial
さん
まず、あったのかなかったのかを調査して欲しいです。
Twitterのなかで三万円買ったのに証明提示が無かったと言う書き込みもありました。
今の状態ならpaypayの使用は考えます。
怖くて使えないし、退会も出来ないみたいだし、アンインストールしても個人情報がこのままだし、怖くて使えないです。
@zoomo038
https://twitter.com/5chan_nel (5ch newer account) 明らかな脆弱性があるのに対策せずサービス継続するとか
これはもうサイバー犯罪支援企業と言ってもいいのでは… 15日にPayPay公式Twitterが安全宣言したから安心だね♥♥??
https://twitter.com/PayPayOfficial/status/1073830902441041920?s=20
PayPay株式会社
@PayPayOfficial
【お知らせ】
ご自身のクレジットカードに、PayPayから身に覚えのない請求がありましたら、こちらをご参照ください。
略※要は家族か友人知人が悪い
PayPayではお客さまの情報を適切な方法で管理しており、安全にサービスをご利用いただけます。
午後3:43 · 2018年12月15日 · Twitter for iPhone
@PayPayOfficialさん
そういう事じゃなくて、登録時、または支払い時にカード情報が抜かれてるのでは?って事なのでは?
@toku_0511
@PayPayOfficialさん
流出したカード番号が簡単に登録できてしまうシステム変更
・本人名義のカードのみの登録
・各社が利用しているsecureシステムの登録時の利用
・3万円以上の高額利用の際のカード名義と本人名義の確認の徹底
こういった決済会社なら当然のことをなぜ出来ないのか。
@toku_0511
@PayPayOfficialさん
本人名義以外のカードは登録できないように仕様変更して下さいねーー!
@tomo70681
@PayPayOfficialさん
家電店が対応な割にはsms認証のみで登録できちゃう
これはまずいでしょ
他社見習ってください
ドコモや楽天は登録の時点から対策ちゃんとしてますよ
ざるシステムでにんじんぶら下げただけですか?
@TAKUMA_IK
@PayPayOfficialさん
いい対策案が見つかるまではひとまず3回ミスでアカウントロックがかかるようにしておくのがいいと思いますよー
せっかく爆発的に周知できたので、これからもひとつひとつ進化していただきたいと思います
@watanabpm
@PayPayOfficialさん
PayPay、クレジットカードに、
身に覚えのない請求。
多分、身内の犯行…。
子供とか、嫁とか。
https://twitter.com/5chan_nel (5ch newer account) >>32
家族や友人知人が悪いんだってよ
八つ当たり過ぎ☆
【PayPayからのお知らせ】見に覚えのない請求が来たら、ご家族様や知人の方の利用の可能性についてご確認下さい ★8
http://asahi.5ch.net/test/read.cgi/newsplus/1544952294/ >>32
ペイペイ代理店への放火犯が発生しても普通に放火犯を擁護しちまうレベル なんかアップデート来てたけど修正したんか?
でも悪い人はアップデートしないよね Paypayに問題があってもVISA・マスターカードで防げそうなもんだが
クレジットカードそのものが危険に思えてきた SMS認証も本人確認書類無いなんてなんて顧客想いなの!!
データ通信専用SIMカード及びSMS機能付きSIMカードをご契約の場合、現在のところ本人確認は不要です。。
音声通話機能付きSIMカードをご契約の場合は、本人確認法に基づいた本人確認が必要です。IIJmioサプライサービスの端末をご契約の場合、不正契約防止のため、本人確認が必要です。。
データ通信専用SIMカード及びSMS機能付きSIMカードをご契約の場合、現在のところ本人確認は不要です。
https://www.iijmio.jp/hdd/miofone/verify.jsp
https://nifmo.nifty.com/navi/doc.htm
https://bb.excite.co.jp/exmb そりゃまずいじゃん
中国が本気出せば
ハックして盗んだカード情報で
PayPayアプリで無限に買い物できるじゃん ほぼ確実に家族か知人もしかすればひょっとして他人の犯行 対策終わるまではサービス停止が基本だろ
IT会社としてセキュリティ意識が低すぎるのは致命的では インド仕様はセキュリティザルじゃない顧客無視
PayPayは顧客想いの日本仕様だけのゆるゆる特典だよ最高☆
401 名無しさん@1周年 2018/12/16(日) 16:05:10.59 ID:fNy54I5b0
paytmざっとnetで調べたけど、
電話番号とクレカはいずれもインド国内発行分に限定だな
あと、クレカからの場合もいったんチャージしてからになるっぽい
それと、(ひょっとして個人確認厳格化してからかもしれんが)携帯番号のほか氏名、生年月日は必須っぽい
金額に制限があってアップグレードすると高額でも利用可 マスゴミはあれだけキャンペーンを宣伝しておいて不正使用のニュースは制限してるよな
何処の国のテレビ局だよ ダチョウ倶楽部的なアレだろうな
リトライ制限無いからやるなよ!やるなよ!(チラッ
(´・ω・`) どーすんのこれ? リトライてのは基本的に成功させたいシステム側の処理のことを言うのであって
ユーザ入力の場合は、最大失敗なんちゃら回数とかいうんだぜw >>38
まあ、アップデートしないアプリのリクエストを遮断すればと思ったが、バージョンチェックをすり抜けるパッチぐらい作るだろうな。 よくこんな欠陥システム通したな
犯罪組織が本腰入れたらマジ終わるだろ >>17
JCBて、ヤフーカードだけじゃなかったっけ。
楽天カードにVISAなんてあるの? クレジットカード会社は支払いしないわな
はたしてぺーぺーは販売店に支払いするか?
販売時に本人確認を怠っていれば店が商品を騙し取られた事で決着する >>53
明細が来た段階では払う義務はないから、明細に見つかったら即クレカ会社に電話だね。 >>52
システム側の仕組みを変更して、過去のアプリの仕様では処理が失敗するようにすればいいだけ
要は古いアプリのバージョンだと動きませんよ
状態にすればいいだけ >>11
それはおかしい
カード会社の方でもリトライを制限しないと、
他の方法での総当たりを防げない
複数サイトの順次試行、XSS、ボットネット、正規ECサーバの乗っ取り
俺がパッと思い付くだけでもこれだけ方法がある JCBでほんとによかった
こんな騒動に巻き込まれたくないわ これって、リトライ回数にシステム的な規制とかないの?こんなの悪意を持った事業者やり放題でしょ。
クレカ側のシステムでも異常なリトライはじかないって脆弱性ほうちもいいところだな。 >>2
明らかに脆弱性であり仕様では通らない、意図を疑われるところまで行くだよ >>62
JCBって使える場所問題なし?
ちなみに新宿、渋谷、品川とかの場所
問題なしなら、JCBにしようかしらん 有効期限も総当たり可能なん?
だとしたら犯罪者にとっては偽造カード作り放題のボーナスタイムになっちゃうんだけど まさか1111とか1234とかバースデー365パターン入れてる馬鹿はおらんやろ こいつら家族や知人のせいにして
ごまかしてただろ。
その間にも被害は拡大していた。
日本人を狙った悪質な犯罪。 >>69
有効期限はせいぜい5年だから、60回トライでOK >>72
禿様が間違えるわけないだろ
家族や友人知人が悪いんだよ☆ >>69
数字あるもの全て総当たり可能
PayPay「絶賛大問題発生中で犯罪者のボーナスタイムだけどサービス停止していないよ!!そんな事より500円あげるから登録してね♪」 >>63
クレカ会社側でロックを掛ける仕様になっていないのは多分わざとそうしているんだと思うよ
クレカ会社側でロックする仕組みにするとクレジットカードという仕組みそのものに対するDoS攻撃が可能になる
意図的にセキュリティコード相違を大量に発生させることで膨大な数のカードを無効化させて
クレジットカード業務を停止や麻痺に近い状態に追い込むことができるようになる
それは拙いので加盟店側で個別にロックしてね、という話だと思う なんでサービス止めないんだ
有り得ないんだが
yahooやソフトバンクのサービス絶対利用しないわ >>70
セキュリティーコードはカード会社が決める >>78
PayPay「無制限の何が悪い?うるさいから対策してやるけど別にうちの責任は無いからな」 >>78
もう遅いだろうな、ジェネレーターでカード番号と有効期限を推察し、こいつでセキュリティコードを手に入れる
この"推察"したカードにはペイペイって何それ美味しいのみたいな世界中のカードが含まれるって事だからな、
とんでもない数のカード情報がハッカーの手に渡っているよ、世界のペイペイ爆誕だ 怖いのは、paypayで買い物をされることじゃない
今この瞬間も、犯罪グループはスクリプトを回して、カード番号に対応する
セキュリティコードの発掘を続けているだろう
本当に賢い奴らは、それを使った買い物なんかせずに、大量に集めた
カード番号を、データ集として売る
そしてみんなが忘れたころ、それを買った犯罪者グループが不正利用し始めるわけだ こんなの広報レベルで回答したらあかんのよ
ちゃんと法的に問題ないか確認してから回答しないとアウトやで ★冷戦が終結し安部が総理となったこの時期に日露平和条約交渉が進む本当の理由★
@日本を使ってロシアを対中包囲網に引きずり込み、中国が台湾侵攻した際に
ロシアからのエネルギー輸入を停止させ、中国の暴発を誘発させる。 もちろん的になるのは日本。
A右派の安部の時に日露を接近させ、将来、ロシアが反中にまわった際、
中国人にロシアが反中に回ったのは右派の安部のせいだと印象付ける。
そして、そのせいで中国が窮地に立ったと印象付ける。
B安部に点数を稼がせ、アメリカの操り人形の安部を使った売国政策&憲法改正をより実現しやすくする。
C北方領土の共同開発・共同管理は日本と中国との対立が先鋭化した際に、
自動的に中露の関係をも悪化させようとするもの。
Dマスゴミ(アメリカ)が2島先行返還容認の世論誘導を行い(2島返還なら安部じゃなくても森でも橋本でも出来た、
アメリカに潰されただけ)、クリミヤを武力で併合したのにも関わらず(中国の数十倍悪いことをしてる)、
日露の友好を演出するのは、すでに2島返還で大筋合意が出来ているから、後は引渡し方法とその時期だけ。
日露VS中国という絵図を描き、日本を中国の的にしようとするもの。これに踊らされる安部自民は大馬鹿。
Eなお、2島“先行“返還という文言は、歯舞群島と色丹島の返還の後に国後島や択捉島が交渉によって
返還される可能性があると思わせ、世論を2島返還容認へと誘導させるためのペテン。
というのは、四島の帰属を決定し(歯舞・色丹は日本、択捉・国後は露)、へいわ条約を締結したら、
その後の交渉の余地などなくなるから。
Fフランス革命戦争とナポレオン戦争、第一次世界大戦、第二次世界大戦、これらすべての戦争が「包囲」と
それに対する「反発(自衛名目)」で起こった戦争。
中国を包囲して押さえつければ言うこと聞くと思ってる人間は歴史も政治力学もわかっていない馬鹿、
近代以降包囲網が形成されて暴発しなかった大国はない。冷戦時のソ連は包囲というより東西2つの分断、かつ、
自給できたから暴発しなかっただけ、今の中国は経済封鎖されれば自給できなくなるから暴発せざるを得ない。
t34 >>80
本当かな?
それだと俺がさっき書いたXSSやボットネットからの総当たりを防げない
流石に同一接続元からのDoSはIDSとかのアノマリ検知が弾くんでない? で、もうリトライ上限つけたの?
早くやんないとマイニングで余りまくってるPC使って中国人が0から999ループさせるマクロ走らせまくるだろ
はよやれやペイペイ ヤフーではIDで入られ 8桁A〜Zパスを破られ
台湾から入り込まれた(俺)お買い物自由状態
数字パスなんぞ あっさりだわなぁ
ペイペイはその下部組織。 >>86
いま自分のカードが不正利用されてなくても油断した頃にやられる可能性あるよな
はあーホントクソ
カード作り直しておくかな
ソフトバンクのプロバイダーでも契約詐欺食らったことあるし、絶対使わねーわこのゴミクズ企業 >>87
クレカ自体が危険物と認識させてくれた功績は認める >>80
既存のインフラにただ乗りして利益を得ようとする禿イズムが具現化したような感じだなw あの半笑いで答える広報に恐ろしさを感じたな
ほんと怖かった、こんな企業と関わりたくない。 名前
認証いらないって
おかしいじゃんか
名前なしって ■ このスレッドは過去ログ倉庫に格納されています