【悲報】決済サービスのメタップス、クレカのセキュリティコードをデータベースに保存してしまう大失態→46万件流出 [455679766]
■ このスレッドは過去ログ倉庫に格納されています
株式会社メタップスペイメントは2月28日、1月25日に公表した不正アクセスによる情報流出について調査結果を発表した。
同社の「会費ペイ」「イベントペイ」を利用する団体からは昨年末から年初にかけて、不正アクセスによるサービス停止について発表していた。
メタップスペイメントによると、同社決済データセンターサーバ内に配置された一部のアプリケーションの脆弱性を利用した不正アクセスにより、個人情報を含む情報の外部流出が判明している。
メタップスペイメントへの攻撃は、2021年8月2日から2022年1月25日にわたり、社内管理システムへの不正ログイン、
一部アプリケーションへのSQLインジェクション、不正ファイル(バックドア)の設置が複合的に行われ、決済情報等が格納されたデータベースにまで達したという。
メタップスペイメントの決済情報等が格納された3つのデータベースに不正アクセスがあり、それぞれ下記の情報が流出している。
1.トークン方式クレジットカード決済情報データベース
2021年10月14日から2022年1月25日に利用された460,395件のクレジットカード情報(番号、有効期限、セキュリティコード)。
https://s.netsecurity.ne.jp/article/2022/03/01/47211.html セキュリティコードをサーバーに保存するなって何回言えばわかるの?
徳丸 浩@ockeghem
セキュリティコードが漏洩したのは「トークン方式クレジットカード決済情報データベース」からとありますが、
書きぶりから見て、「データベース」にセキュリティコードが保存していたわけではないようにも読めますね。
メディアの方に取材いただきたい
https://twi
tter.com/ockeghem/status/1498171911171235845
S (ツイートはスレッド全体をご確認ください)@esumii
(一般向け電話問い合わせ窓口が誰も出ないのでやむをえず)メディア向けのほうにお問い合わせしたところ,「一定時間,セキュリティコードもデータベースに保存していた」とのことです.「一定時間」の具体的な長さは公表しないでほしい,とのことでした.
https://twi
tter.com/esumii/status/1498473378575192066 顧客のパスコードやセキュリティコードは保存してはならないと言う法律作ったほうが良くね
これだけ前例があるのに未だにやってる企業は実刑受けても良いレベル メタアアアアアアアアアアアアアアアアアアアアップスwwwwwwwwwwww 普通こういうのってソルトとかいうので暗号化するんだろ?
俺はセキュリティには詳しいんだ! クレカ情報保存出来るところでセキュリティコード毎回聞いてこない所けっこうあるけど保存してんの? >>17
この程度で潰れたら、日本企業はもっとセキュリティに力入れてるよ こんなイカレが通るってことは他のセキュリティ項目もザルだろ
掘ればなんか出てくると思うぞ 万一クレカ番号が漏れた時ためのセキュリティコードなのにそれをサーバーに保存してどうすんだよアホか
ルールガン無視すんじゃねえよ 決済代行会社がこんなの駄目だろ
金融庁コラボしろや >>19
セキュリティコードはなくても決済できた気がするからそもそも保存してないのかも 現金で決済しない奴はバカだよ
通販も代引き
アマゾンはギフト券を現金チャージ
https://i.imgur.com/4fo3itF.jpg >>1
ブロックチェーンで永久に残るから大丈夫だろ なっ
くそセブンだろ
メタップス・グループ(株主 株式会社メタップス、株式会社セブン銀行) スクエニをダメにした奴が社長だからな。ましてや昔の証券会社のやつなんてコンプラとかセキュリティとか屁だと思ってたりするのでは。どうなんだろ 令和の時代に
SQLインジェクションなんて許すなよ
こんなもん、禁じ手とされている実装しない限り
起きようがなかろうに、頭おかしいんと違うか わざとじゃねえのこれ
DBにセキュリティコード残すなんてありえない メタップスって初耳なんだけど、オレは該当しないよな? いや普通は絶対にセキュリティコードは残さんぞ
組んだやつ脳みそ無いんか? ジャアアアアアアアアアアアwwwwwwwwwwwwwwwwww >>34
最近買ったんだから被害者みたいなもんだろセブンは >>46
新興金融・決済事業者なんか1ミリも信用できねーんだよ
その方面に無知な奴等がシステム組むから イベント用の決済に使われてたみたいだから
普段使ってなくてもコンサートのチケットとかで、ここのカード払いにして漏れてる可能性がある >>19
知らんけど
一度セキュリティコード認証がパスしたことを示す
セッションIDとかトークンみたいなのを
保存してるんじゃないの
一度認証通れば
セキュリティコードはたびたび要らんだろ ホームページ見たら世界を解き放つとか書いててクソワロタ これのせいでPayPay銀行のキャッシュカード再発行だよ、メンドクサ ここまでセキュリティガバガバだと内部の犯行なんじゃないの? 日本企業はめちゃくちゃずさんですよ
大手でも流出事故多いし。
こんなJPシステムなんか使わずGoogleAmazonと契約しとけ フィンテックの実態はこんなところって事
既存の金融機関より身動き早いのはセキュリティがザルだからでしたっておち 毎回思うのがなんでセキュリティコードを保存するんだよ
保存するなって紀元前から言われてるのにどいつもこいつもわざとやってるだろ https://www.metaps-payment.com/images/service/token_01_2017.png
素人考えだけど
こういうサービスやっててもしカード会社との全セッション吹っ飛ばしちゃうと
(更新が必要だったり色々事情がありそうだから単純なデータ喪失よりは可能性は高そう)
採用してる全サイトの全ユーザーに再認証を求めることになるわけだから
お気持ちとしてはセキュリティーコードを持っておきたい気がする なんの連絡も来てないけど件数多過ぎて把握されてないだけってのもありそう セキュリティコード入力なしでいけるとこもたまにあるから意味あるんかって思う 3Dセキュアに設定してて安心とか思ってたら、ネット決済で3Dセキュアの画面にいかずに決済完了すること多々あって怖いんだけど意味ないやん トークン型か
決済開始から終了までの間、セキュリティコード保持してたパターンか 佐川はパスワードを平文で保存していて、しかも問い合わせ窓口のオペレータがそれを見ることができていました。
JALは顧客情報を暗号化処理などを行なっておらず、平文で保存していた。
日本のセキュリティなんかそんなもん >>(バックドア)の設置
なにされてもしょうがない
知らないファイルの検知や、実行ファイルの改竄チェックもやってなくてガバガバ フィンテックって一時期はやったけど
結局ザルだから早いだけってことかいな >>19
その会社じゃなくて今回やらかしたような決済代行会社が保存してる
PCIDSS持ってないところはカード番号を自社サーバに通過させることじたいダメになった つーかなに考えてこんなよくわからん新興の決済代行使うんだろうな
同じ労力でStripeつかえるんじゃないか 今どきSQLインジェクションやられるシステム組んで金融サービス提供ってやばいだろ 番号とか抜かれて再発行で番号変わると、引き落としの変更手続き必要になるからクソ面倒 ■ このスレッドは過去ログ倉庫に格納されています