ビックカメラドットコム、IDとポイントが不正使用の被害 50
ストーリー by kazekiri
消えたポイント 部門より
消えたポイント 部門より
cvmonto 曰く、
ビックカメラの通販サイトであるビックカメラドットコムにて、会員のID、パスワードが不正使用され、会員のポイントを利用して不正に商品の購入もされていたことが分かったようだ ( 日本経済新聞、MSN産経、ビックカメラのリリース)。 現時点での被害件数は、不正ログインされたのが124件で、実際に商品の購入にまで至ったのは20件とのことである。サイトに関しては13日から現在も閉鎖されている。
既に被害者のポイントは戻され、店舗だけを利用する客のポイントは従来通り使えるとのことだが、100件以上の不正ログインがあったということは、大規模な情報流出も可能性として否定できないかもしれない。
パスワードなんか役に立たない (スコア:5, 参考になる)
かなりのスピードで総当たりされれば検出も可能ですが、ボットネットを利用するなどして1つのIPアドレスから1日1回程度の試行だと、攻撃元だけを遮断することができず、サービスを休止するしかありません。そういうわけで、金の絡むシステムでは、パスワードは脆弱すぎます。
Re:パスワードなんか役に立たない (スコア:2)
比較的強度の強いパスワードを作れる@、+、-のような記号は受け付けてくれません。
不正アクセスの被害は保証すればいいんだろうというスタンスなんでしょうか。
Re: (スコア:0)
Re:パスワードなんか役に立たない (スコア:1)
自分の名前をパスワードにしやすいですね。
旧字体とか、端末によっては入れないかも。
Re: (スコア:0)
あれ、「ゆううつ」ってどう書くんだっけ?
Re:パスワードなんか役に立たない (スコア:1)
Re: (スコア:0)
ってことは2歳以下限定ですね
Re: (スコア:0)
うちがこの間作ったシステムは、アカウントに記号が使えるのに
パスワードには使えないのです。なんだこりゃ。
Re:パスワードなんか役に立たない (スコア:1, 参考になる)
結局今回のは脆弱性を突かれたものじゃないの?
以前のビックモバイルサイトはセッションIDをgetで引き回した上
なかなかリフレッシュもしないから、掲示板に貼られたURL経由での
セッションハイジャックもあったけど
Re: (スコア:0)
昔使ってた某証券会社もキャッシュカードの4桁暗証番号直打ちで、よく考えた方がいいですよ~とサポセンに忠告したのに、全然問題ありません的な回答もらったし。
まあパスワードは役に立たないとか言っちゃう人も同類か
Re: (スコア:0)
銀行や証券会社が責任を負わないのなら、彼らはそれを自分の問題だとは思わないでしょう。
Re:パスワードなんか役に立たない (スコア:1, 参考になる)
全国銀行協会の申し合わせで、「お客さまに重大な過失がある場合を除いて補償」となっているそうです。 [mizuhobank.co.jp]
仮にそれがなくても、「正しいパスワードを使ってアクセスしたら責任がない」などという一方的に不利な契約は、消費者契約法で無効でしょう。
Re: (スコア:0)
普通、ログイン用のパスワードと、振込時に入力する
パスワードって別ですよね?
たとえ不正ログインされたとしても、即不正出金等の
被害にはつながらないと思いますけど。
まあ不正ログインされる時点でよろしくないのは当然ですが。
Re: (スコア:0)
「某銀行」とか、伏せる必要あるんですか。
解決済みの事案なので、話題を蒸し返すのは可哀想だと思ったのなら別にいいんですが
「マスコミ報道されなかったので」という不満めいた(?)意思と噛み合わない気がしたので。
#バラすと組織に消されるから?
Re: (スコア:0)
Re: (スコア:0)
昨日登録したばかりなのに・・・ (スコア:2)
近所にビックカメラが開店したので、店頭でケータイでポイントカードを使いたいと言ったところ、
ビックカメラ.comへ登録しろと言われ、登録したにもかかわらず、メンテナンス中でポイントカード連携できず。
メンテナンスってことは、既に判明した後だったんでしょうね・・・
店員には知らされていなかったとはいえ・・・判明後に登録させるとか・・・しかも目的のことはできず・・・
この仕打ちはひどい・・・
www.biccamera.comには詳細なし (スコア:2, 興味深い)
チト気になって www.biccamera.com を見てみると,単純に「メンテナンス中」となっていて,
トラブルの情報は IR情報のサイト(www.biccamera.co.jp) にしか書いてありません。
株主や投資家には詳しいことを伝えるけど,客は適当にあしらう方針なんですかね?
それとも sofmap へのリンクはしっかりと置いているから,客は何も知らずに金を払うだけで
いいってことでしょうか。
現在(11/16 19:00)は客向けにも情報提供している模様 (スコア:1)
サブジェクトのとおりですが。
ビックカメラドットコムのシステムメンテナンスのおしらせページ [biccamera.com]に同じおしらせへのリンクが追加されています。
ちょっとIR情報の方とタイムラグがあったのは気になりますが、まあ許容範囲でしょうか。
Re: (スコア:0)
あらぬ風評で会社自体がお亡くなりあそばしたら元も子もないよ。
今投資家に離れられたら、ポイントの補填なんて言ってられなくなるからね。
むかしSofmapが危ない噂が流れた時はポイントの消費が激増して、
会社自体がほんとにヤバくなりかけたこともあったような気がする。
Re: (スコア:0)
以前の粉飾決算→監理銘柄行きと脱税で既に逃げる人は逃げてるでしょ。
Re: (スコア:0)
ねずみの国 (スコア:2)
確かどこかのねずみの国関連のログインのパスワードのヒントがどのキャラが好き?みたいなのがあったと思う。
ちょっと関係ないけどそれを思い出しちゃった。
#大抵はねずみが好きなんだと思うよ
どっかの図書館みたいに (スコア:1, 興味深い)
初期パスワードが生年月日だった [bakera.jp]とか。
でもそれなら100件じゃ済まないか。
Re:どっかの図書館みたいに (スコア:1)
初めてカードを利用する母親に泣きつかれてATM(というか多分CD)について行った時、
俺「暗証番号なによ?」
母「は?なにそれ?」
俺「申し込みの時に4桁の番号書いたんじゃないの?」
母「知らんよ。なんか知らんけど勝手にカード届いたんだし」
なんだそれ?と思いながら、駄目もとで母親の誕生日を入れたら見事に認証通った。
流石に昔の話ですが、例え大金を扱うような公共機関でも、あてにならないなぁ…
とか思ったあの頃
Re: (スコア:0)
Re:どっかの図書館みたいに (スコア:1)
ポイント確認しようにも… (スコア:1, 興味深い)
Webもだめで、おサイフケータイのアプリからもだめ
店行かないと被害にあってるかも確認できない…
5ケタポイントが残ってるだけに、被害対象になってるかどうかが気になる
Re:ポイント確認しようにも… (スコア:1, すばらしい洞察)
そんなもの溜め込むからですよ。
ポイントなんか利息もつかない債権と同じです。
元々が、有利な物品にでも交換して、可能な限り早く取り戻しておくべきものだったのです。
今回は被害分が補償されるそうですからまだ良かったじゃありませんか。
Re:ポイント確認しようにも… (スコア:1)
「補償」されて「お詫び」の一つもくるなら、ためこんでてもいいんじゃね?
……近場の閉店や倒産には意味無いけどね!
#全て動物の絵本に変換ずみ
Re: (スコア:0)
> 元々が、有利な物品にでも交換して、可能な限り早く取り戻しておくべきものだったのです。
利息がつかないという点についていえば当座預金でも一緒ですが、当座預金という預金形態はいまだ使われ続けています。それには、当座預金ならではのメリットがあるから、でしょう。
当座預金のメリットはといえば、現金を持ち歩かずとも時間帯を問わずいつでも手数料ゼロで現金と同様に即時決済できる(ただし使える店が限られる)、万が一盗難にあったとしても不正使用を防止できるとか補填が行われるとい
Re: (スコア:0)
Re: (スコア:0)
それどころか、一方的に廃止されても文句言えないしね。
#但し、ソースは森永卓郎がが出演するTBSの番組w
Re: (スコア:0)
これは嘘だよね。ポイントカード無くしても連絡すれば残高は戻ってきます。少なくともヨドバシとかビックはそう。また紛失した場合でも連絡すればすぐに使用停止にできますよ。紛失した後、連絡するまでの間の不正使用がどうなるかは知らないけど。
> お店が倒産したら使えません。
小切手も振り出し者が倒産したら使えなくなる。
ついでに、
> それどころか、一方的に廃止されても文句言えないしね。
振り出し者が振り出し済み小切手を一方的に払い戻し停止することもできる。なんて考えてみると、意外に小切手と特定店舗のポイント制度って似通った部分があるのかもしれない、とか思った。
Re: (スコア:0)
よく「利息が付かないからすぐ使わない奴は店の思うつぼ!」とかっていうけどさ、
実際ヨドやビックのポイントに対してつく利息っていくらなのよ?
って話でもあるわけで。
俺の場合は数年かけて今4万程度ポイント貯まったけど、この分をどういう
金融商品に回せば100円にでもなるんでしょうかね?
店側から見れば、確かにかなりの額を顧客側が抱えてくれるので、
無利子の融資を受けてるのと同じだろうというのは確かですし、
その意味では「店の思うつぼ」なんでしょうが「店の思うつぼ=客が馬鹿を見てる」
といった論調が多い、「すぐに使え」論には、妙な被害者意識が見えるようで
余り共感を覚えないんですよね…
Re: (スコア:0)
デフレ傾向にある現代ではむしろすぐ使っちゃう方が勿体ないとも言えますな。
Re: (スコア:0)
トップページに被害者の実名がずらっと並んでいたらもっと嫌だな
Re: (スコア:0)
テレビで放送終了後の砂嵐の中に被害者の実名がずらっと並んでいたらもっと嫌
店頭でのポイント利用 (スコア:1)
http://itpro.nikkeibp.co.jp/article/NEWS/20101115/354122/ [nikkeibp.co.jp]
ITproの記事ではこう書かれているわけですが、通販サイトと店頭でポイントを共通化している人は今は店頭ではポイントを利用できるのでしょうか?ここ書いてないので分かりません。
Re:店頭でのポイント利用 (スコア:1)
Re: (スコア:0)
いや、できてませんっていうか 最初の状態はそうかもしれないけど
店舗で手続きすれば共通化できたような…
うろ覚えで恐縮ですが 「できていません」って確かですか?
Re: (スコア:0)
「通販サイト上で使えるポイントの利用を停止している」ので、「通販ポイント」は利用不可。
「通販サイトのポイントと共通化していないポイントは、通常通り利用できる」ので、共通化手続きをしていない場合に限り「店舗ポイント」分は利用可能ということだと思います。
# 共通化手続きを行うと「店舗ポイント」も「通販サイト上で使えるポイント」となり、前者の条件に引っかかります。
「一般人はコワイ」のでは? (スコア:1, 参考になる)
先日「重要なシステム変更のお知らせ」として、セキュリティ強化のメールが来ましたが………
エエエエエエエエエェェェェェェ(゚Д゚)ェェェェェェエエエエエエエエエ
さらに「My JR-EASTでも同様のシステム変更を準備中です」と書いてあり、えきねっとをMy JR-EASTでログインする限り、ID=Passwordが可能なようです。
#root:toorとかroot:adminじゃなくってroot:rootかよ!
他のサイトで (スコア:1, すばらしい洞察)
ないですかね。何万か試行したうち、120件が突破できてしまった…とか。
カード会社もアレですね (スコア:1)
電子マネーと混同してはいけない (スコア:0)
そんなものに数万円(相当)とか入れっぱなしにしてて安心しちゃぁいけないよ。
所詮はお店のスタンプカードの類ってことを忘れずに。
渡辺さんガンバレ (スコア:0)
店長さん経験者なら万引きの怖さは、身にしみて分かっているはずなんですが?
Re:この会社? (スコア:1, 興味深い)
私はビックカメラドットコムを利用したことが無いのですが、
(メルアドorユーザID)+パスワードで利用できるとしたら、
777で流出したそれらのデータを手当たり次第に入力すれば、
同じID・パスワードの人くらいいるんじゃないでしょうか?
(ログイン手段確認したくても、今メンテ中になってるので、不明ですが)
なんせ173万件ですからね、万に一つとしても、173件はあるわけで。
#流出された人間なのでAC