パスワードを忘れた? アカウント作成
13769970 story
Yahoo!

YahooIDとTカード番号のみでYahooアカウントの認証が通ってしまう問題 37

ストーリー by hylom
解除できない余計な情報は紐付けないのが確実です 部門より

TポイントカードとYahoo IDを紐付けていた場合、「パスワードを忘れた」場合の認証がTカード番号とYahoo IDのみで行えてしまう状態になっていたようだ(セキュリティホールmemo「Tポイントの不正はワンタイムパスワードでは防げないらしい」記事)。

ワンタイムパスワードでの認証を利用していたにも関わらずTポイントの不正利用被害が発生したというトラブルがあって発覚した模様。なお、この問題の発覚後Tカード番号での認証はできなくなったとのこと。

  • どうやったらこんな仕様があらゆる工程でスルーされるのか。
    Web系でも大企業ならはじめに確定した仕様は一エンジニアの意見によってに変わることはないとかなの?

    ここに返信
    • by Anonymous Coward on 2018年11月16日 20時26分 (#3516792)

      社会的な責任としてのセキュリティより目先の利益を優先する会社は往々にしてある。
      日本には懲罰的賠償金なんてないし、事故った会社が潰されるわけでもないし、金銭的な利益だけを見ればサイバー・ノーガード戦法は有効だし。

      そしてそんな会社では、セキュリティや顧客保護を気にするエンジニアが居ても、声が大きければ潰されるし、声が小さければ勝手に病んで潰れるか、磨耗して麻痺していくだけ。
      大企業がどうかなんて関係ない。残念ながら今の日本はそういう国だ。
      # 懲罰的賠償金も企業への罰則も反対してる弁護士会様々である

      • by Anonymous Coward

        このケースが懲罰的賠償金の対象になるのかね。
        懲罰的賠償金がある国といえばアメリカだけど、セキュリティがずさんで懲罰的賠償金課せられた例ってある?

      • by Anonymous Coward

        >社会的な責任としてのセキュリティより目先の利益を優先する会社は往々にしてある。

        素晴らしい、ご自身の経営する会社か勤めている会社は目先の利益より社会的責任を優先して経営しているのですね。

    • by Anonymous Coward

      どうもしなかったからスルーされたんだろ

      適当にやるなんていくらでもできるし、企業の規模と開発の規模が比例するとも限らない

      内容はお粗末だけどそんな首をかしげるほど意外とも思えない

    • by Anonymous Coward

      意思決定者が便利さの方向性を穿き違えて、本気で顧客のためと思ってる場合も
      顧客が望むからと言う理由で、緩めてはダメなラインを越えようとする
      部下やベンダー進言しても、改善だと思い込んでるから聞く耳をもたない

      • by Anonymous Coward

        御社は弊社か。
        まぁ癌はバカな顧客だよね。
        最近もパスワードを平文で保存しろという話があって・・・受けてきたうちのもバカだけどさ。
        結構デカい会社なんだけどなぁ。
        勿論被害受けるのは客なんだけど、こっちまでとばっちりくらうので嫌。

    • by Anonymous Coward

      >どうやったらこんな仕様があらゆる工程でスルーされるのか。

      第一のヒント:Yahoo!
      第二のヒント:CCC

      どちらもユーザはデータを咥えている餌としか見てない

    • by Anonymous Coward

      セキュリティ的な強度が落ちる実装をするなら、ユーザーに告知してほしいよね。
      いつの間にか申し込んでないのに可能になってるインターネットでの残高照会とか、
      今回のTポイントカードでパスワードリセットとか、
      削除できない(秘密になってない)秘密の質問とか。

      • by Anonymous Coward

        強度が落ちるなんて思っていない。
        理解もしていない。
        なのだから告知なんてありえない。

    • 低いセキュリティとか漏洩とかまったく気にしてないってのは、ソニーのサービス見てれば分かるでしょう。
      むしろそんなとこにコストをかけるだけ無駄。

  • by Anonymous Coward on 2018年11月16日 19時43分 (#3516761)

    所詮YahooとCCCのやることだし。
    CCCはWebサービス以外の部門は割とすごい人いるのにこういうサービス部門って微妙なのしかいないイメージが。
    ディレクターが無能だったんだろうけども

    ここに返信
    • by Anonymous Coward on 2018年11月16日 22時13分 (#3516850)

      ヤフーは漏らすことに関してはパイオニアだしね
      賠償がたった500円の金券という前例を作ったもここでしょ?

    • by Anonymous Coward

      個人情報売買約を結ぶ能力こそ異様に高いけど、法や倫理面での折り合いをきっちりつけたり、収集した情報を活用する能力も低すぎると思う。
      まぁ所詮は個人情報売買屋だから能力低いままたんなる共通ポイントインフラである方がいいのかもしれないが……活用してくれる方がユーザが自分は何を誰に売ったか自覚が進みそうなんで痛い痒し。

  • by Anonymous Coward on 2018年11月16日 20時36分 (#3516796)

    「紐付け」はすればするほど「穴」が増える認識だから設定しないなぁ

    ここに返信
    • by Anonymous Coward

      紐付けはひとつ漏れたら芋蔓式に次々と危険に晒されるイメージを持っている

  • by Anonymous Coward on 2018年11月18日 18時51分 (#3517661)

    AndroidのTカードアプリで強制的に番号再入力が出たけど、
    もしかしてこのせい?

    ここに返信
    • by Anonymous Coward

      タイミングにそれしかないとは思ってるが
      まあ、個人的にTカードの不正使用は懸念ないかな
      2ヶ月に1回公金払で自動消火されてるから
      普段利用からしても最大で200円程度しか貯まることはない
      頑張って認証通した方々ご苦労さまですとしか言えんw
      どっちかというとYahoo認証の足がかりにされる方が怖い
      メール確認を噛ますだけでかなり不安は消えるんだけど
      なんで、それすらないような保険機能を入れるんだろうな

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...