YahooIDとTカード番号のみでYahooアカウントの認証が通ってしまう問題 37
ストーリー by hylom
解除できない余計な情報は紐付けないのが確実です 部門より
解除できない余計な情報は紐付けないのが確実です 部門より
TポイントカードとYahoo IDを紐付けていた場合、「パスワードを忘れた」場合の認証がTカード番号とYahoo IDのみで行えてしまう状態になっていたようだ(セキュリティホールmemo、「Tポイントの不正はワンタイムパスワードでは防げないらしい」記事)。
ワンタイムパスワードでの認証を利用していたにも関わらずTポイントの不正利用被害が発生したというトラブルがあって発覚した模様。なお、この問題の発覚後Tカード番号での認証はできなくなったとのこと。
この手の話はよく聞くけど (スコア:2)
どうやったらこんな仕様があらゆる工程でスルーされるのか。
Web系でも大企業ならはじめに確定した仕様は一エンジニアの意見によってに変わることはないとかなの?
Re:この手の話はよく聞くけど (スコア:1)
社会的な責任としてのセキュリティより目先の利益を優先する会社は往々にしてある。
日本には懲罰的賠償金なんてないし、事故った会社が潰されるわけでもないし、金銭的な利益だけを見ればサイバー・ノーガード戦法は有効だし。
そしてそんな会社では、セキュリティや顧客保護を気にするエンジニアが居ても、声が大きければ潰されるし、声が小さければ勝手に病んで潰れるか、磨耗して麻痺していくだけ。
大企業がどうかなんて関係ない。残念ながら今の日本はそういう国だ。
# 懲罰的賠償金も企業への罰則も反対してる弁護士会様々である
Re: (スコア:0)
このケースが懲罰的賠償金の対象になるのかね。
懲罰的賠償金がある国といえばアメリカだけど、セキュリティがずさんで懲罰的賠償金課せられた例ってある?
Re: (スコア:0)
>社会的な責任としてのセキュリティより目先の利益を優先する会社は往々にしてある。
素晴らしい、ご自身の経営する会社か勤めている会社は目先の利益より社会的責任を優先して経営しているのですね。
Re: (スコア:0)
どうもしなかったからスルーされたんだろ
適当にやるなんていくらでもできるし、企業の規模と開発の規模が比例するとも限らない
内容はお粗末だけどそんな首をかしげるほど意外とも思えない
Re: (スコア:0)
意思決定者が便利さの方向性を穿き違えて、本気で顧客のためと思ってる場合も
顧客が望むからと言う理由で、緩めてはダメなラインを越えようとする
部下やベンダー進言しても、改善だと思い込んでるから聞く耳をもたない
Re: (スコア:0)
御社は弊社か。
まぁ癌はバカな顧客だよね。
最近もパスワードを平文で保存しろという話があって・・・受けてきたうちのもバカだけどさ。
結構デカい会社なんだけどなぁ。
勿論被害受けるのは客なんだけど、こっちまでとばっちりくらうので嫌。
Re: (スコア:0)
>どうやったらこんな仕様があらゆる工程でスルーされるのか。
第一のヒント:Yahoo!
第二のヒント:CCC
どちらもユーザはデータを咥えている餌としか見てない
Re: (スコア:0)
それを言ったら、Amazon、Google、Facebookだって同じだ
ユーザーは金か、個人情報データをくわえている「カモ」としか見てない
Re:この手の話はよく聞くけど (スコア:1)
ユーザーを「鴨肉にしかならない鴨」と見てるか「卵を産む鶏」と見ているかは大きな違い。
後者は赤字が出ない程度には保護してくれる。
Re:この手の話はよく聞くけど (スコア:1)
いや「腹を割いたらいっぱい卵が出てくるに違いない」と殺される。長期的視野に立った見通しができないとはそういうこと
Re: (スコア:0)
セキュリティ的な強度が落ちる実装をするなら、ユーザーに告知してほしいよね。
いつの間にか申し込んでないのに可能になってるインターネットでの残高照会とか、
今回のTポイントカードでパスワードリセットとか、
削除できない(秘密になってない)秘密の質問とか。
Re: (スコア:0)
強度が落ちるなんて思っていない。
理解もしていない。
なのだから告知なんてありえない。
そもそもユーザーがセキュリティとか気にしないからでしょ (スコア:0)
低いセキュリティとか漏洩とかまったく気にしてないってのは、ソニーのサービス見てれば分かるでしょう。
むしろそんなとこにコストをかけるだけ無駄。
まぁ別に (スコア:0)
所詮YahooとCCCのやることだし。
CCCはWebサービス以外の部門は割とすごい人いるのにこういうサービス部門って微妙なのしかいないイメージが。
ディレクターが無能だったんだろうけども
Re:まぁ別に (スコア:1)
ヤフーは漏らすことに関してはパイオニアだしね
賠償がたった500円の金券という前例を作ったもここでしょ?
Re: (スコア:0)
個人情報売買約を結ぶ能力こそ異様に高いけど、法や倫理面での折り合いをきっちりつけたり、収集した情報を活用する能力も低すぎると思う。
まぁ所詮は個人情報売買屋だから能力低いままたんなる共通ポイントインフラである方がいいのかもしれないが……活用してくれる方がユーザが自分は何を誰に売ったか自覚が進みそうなんで痛い痒し。
基本的に (スコア:0)
「紐付け」はすればするほど「穴」が増える認識だから設定しないなぁ
Re: (スコア:0)
紐付けはひとつ漏れたら芋蔓式に次々と危険に晒されるイメージを持っている
モバイルアプリの強制認証 (スコア:0)
AndroidのTカードアプリで強制的に番号再入力が出たけど、
もしかしてこのせい?
Re: (スコア:0)
タイミングにそれしかないとは思ってるが
まあ、個人的にTカードの不正使用は懸念ないかな
2ヶ月に1回公金払で自動消火されてるから
普段利用からしても最大で200円程度しか貯まることはない
頑張って認証通した方々ご苦労さまですとしか言えんw
どっちかというとYahoo認証の足がかりにされる方が怖い
メール確認を噛ますだけでかなり不安は消えるんだけど
なんで、それすらないような保険機能を入れるんだろうな
Re: (スコア:0)
Tポイントの盟主は、いまやYahoo!とファミマなんですが。。
Re: (スコア:0)
TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪
https://security.srad.jp/story/18/11/16/0449224/ [security.srad.jp]
Re: (スコア:0)
Tポイント関係ないでしょ。それTカード止めてpontaに乗り換えても同じ。
Re: (スコア:0)
ファミマはTポイントからの離脱を検討していたはずですが
Re: (スコア:0)
クレカ機能付Tカードを使っていたけど。
Yahooアカウント紐付け必須にされたときにどうにも危なすぎて解約した。
ダダ漏れ企業に財布渡したら終わり。
Re: (スコア:0)
Tカード使ってる時点で(ry
Re: (スコア:0)
ポイントサービス使うだけで個人情報抜かれて危ないから〜
というオッサンたまにいるよね
Re: (スコア:0)
ポイントの入手・消費時の購買内容って露骨に個人の特性漏れるルートなんだけど
Re: (スコア:0)
こう言うおめでたい人間は、(仮にヤフオクをやってたとしたら)売上金勝手に掻っ攫われて泡吹いてから気づくタイプ
Re: (スコア:0)
え?
韓国人がYahoo使わないと信じてるんですか?
自分は以前同様の手口で中国からアクセスしてきたユーザにTポイント抜かれましたよ。
Re: (スコア:0)
おまえさんすこし狂ってるよ