PayPalアカウントがハッキングされたらどうなる? 22
ストーリー by hylom
アカウントの管理に要注意 部門より
アカウントの管理に要注意 部門より
あるAnonymous Coward 曰く、
海外のECサイトにおいては決済方法として広く普及しており、また国内でも最近では利用できるサイトが増えてきた決済サービスPayPalだが、そのアカウントがハックされたという話が週アスPLUSにて紹介されている。
アカウントが窃取されたユーザーは、「身に覚えのない取引を知らせるメール」でそのことに気付いたという。即座にそのユーザーはPayPalに報告したところ、取引は停止され返金処理が行われたそうだが、犯人と思われる口座への直接入金に対しては、入金した金が即座に引き出されたと思われるため対処できなかったという。さらに、それに対しその相手と「直接交渉してください」とのメールがPayPalから届いたそうだ。そのため、クレジットカード会社側に連絡して対応してもらったという。
なお、各所で「なんでその場でパスワードを変えないのか」というツッコミが寄せられている模様。
おれの場合 (スコア:5, 興味深い)
2013年4月某日
******@hotmail.com様へのお支払いのご連絡 メールが来る
身に覚えが無いのでpaypalに報告
未承認取引のクレームに関するPayPal調査 メールが来る
「売り手に対して、この取引に関する情報を提供するようお願いしております。この間アカウントの当該資金はご利用いただけませんが、未承認取引のクレームについてお客様に有利な決定が下された場合、取引の金額を全額払い戻しいたします。」
stop this transaction のメールを店側に出す
お客さまのPayPalによるお支払いが返金されました メールが届く
「PayPalは、売り手に代わって買い手から支払いを受け取ります。売り手は、PayPalが買い手から支払いを受け取った時点で、買い手が当該金額をさらに支払う義務を負わないことに同意します。どうぞよろしくお願いいたします。」
認められたクレーム メールが届く
「以下の取引についてお客さまから提出いただいたアカウントの不正使用のクレームが認められました。」
we have already refunded your money との返信メールが店側から届く
以上のやり取りが一両日で行われ無事返金されていた。
モノは Samsung Galaxy 、発送先はアメリカ 、犯人はどうなったかわからず。 住所と名前をさらしてやりたいがなりすましかもしれないので自粛
このやりとりの数日前にFacebookのアカウントもクラッキングされており同じパスワードだったのがマズかったのかもしれなかった が
話のネタになったのでよしとした
Re:おれの場合 (スコア:1)
自分も似た感じですね。
なんか勝手に商売に使えるアカウントに昇格されていて、元の状態に戻せないのでPayPal解約しました。
フィッシングメールもあるので注意 (スコア:2, 興味深い)
身に覚えのないPayPalの取引メールが来たので焦ったけど、リンク先をよく見るとPayPalじゃなかった。
Re:フィッシングメールもあるので注意 (スコア:1)
身に覚えがないけど、「年額払い」になっていて困った人から昨日コールがあった。
※Paypalの定期支払には月額支払いだけでなく、年額支払いもあります!
さすがにPaypalだけは全然別のパスワードにしているお (スコア:0)
でも、種々の理由から出金専用のパーソナルアカウントと入金専用(Paypal hareの加盟店)のビジネスアカウントがあるので、パスワードを変えなければいけなくってさらに面倒くさいっす。
オマケに最近firefoxからログインしようとすると正しいパスワードなのにダメ言われたりして、ちょっと困ってます。
※ビジネスアカウントなのに本人登録書類送ってない人
自分の場合 (スコア:0)
最近PayPalにログインできなくて焦ったことがあった
なんとか秘密の質問で復旧できたけど取引履歴は変化なし
これとは逆にパスワードだけ変えられたのかもしれない
そもそもパスワードの長さが16文字制限っていうのが危ない気がする
Re: (スコア:0)
>16文字制限っていうのが危ない気がする
あなたのアカウントが総当たり攻撃で破られたということですか?
そもそも危険なパスワードだったのでは?
Re: (スコア:0)
たった16文字制限ではそもそも安全なパスワードを作ることが不可能という話では?
Re: (スコア:0)
パスワードを変えようとしたが、結局メニューが見つからず諦めた。
どこでやるんだ?
Re: (スコア:0)
PayPal のサイトはいろいろ面倒ですよね…
E-Mail を変更しようとしたけど結局できなくてQ&A見たらアカウント削除して作りなおせって書いてあったのでアカウントを削除して PayPal を使うのをやめました。
Paypal アカウントのパスワード変更 (スコア:2)
「パスワードとセキュリティーの質問の変更方法を教えてください。」
試しにやってみたところ、パスワードを変更する前に、アカウントの所有者であることの証明として、クレカの番号or銀行口座番号をフルに入力するよう求められた。
また E-mail を変更するには、個人設定からメールを追加して切り替えればいいと思う。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
英数記号ありで16文字って総当たりに対しても十分すぎる強度を確保できるんだが、何が不足なんだ?
Re: (スコア:0)
字数制限があるパスワードって平文で保存してそうでかなり嫌になる
Re: (スコア:0)
字数制限と平文保存か否かって直接関係ないだろ
Re: (スコア:0)
もちろんちゃんとハッシュを保存してれば問題ない
ただ、字数制限がなければハッシュを保存してるのはほぼ確実で、
制限がある場合、外からははっきりしないのでもにょるってだけ
# LONGTEXTで平文保存ってそんなアホな設計ありうるのかしら
Re: (スコア:0)
16文字制限?
2段階認証 (スコア:0)
Paypalも2段階認証あるけど、あまり積極的に利用を推進してはない様子。
銀行系や証券会社もそうだけど、金融系って重要な情報を扱うのに、2段階認証の導入が遅い。
ハードウェアトークンを採用してるところもあるけど、結構めんどうだしコストもかかるし、
普通にGoogleなんかがやってるソフトウェアベースのでいいんだけどなぁ。
PaypalもSMSでの認証があるみたいだけど、日本からは無理ぽいし、そもそも手順が不明過ぎる。
Re: (スコア:0)
数字にカンマ含むだけで破綻するようなコードでないとレビューとおらん(レビュアーが理解できないから説明で数日消えるのでやってられない)ような世界ですから。
これでよくもまあ品質どうこう言えるもんだと思った。
Re: (スコア:0)
Re: (スコア:0)
さすがに4桁の数字の管理はIT関係ない。チェーンロックだって南京錠だってそう。
# 個人的には4桁の数字覚えるよりハードウェアトークンの方が楽だし、
# 物理的実体がある方が管理しやすくてむしろ良さそうだけど。。。
# 使い方の説明よな。問題は。