「面倒臭いけどカード情報は登録せずに毎回入力した方が良いかもしれないね」←これはよくある誤解で、攻撃側はカード情報を入力するタイミングで盗むので、「登録したほうが漏れにくい」ことになります。 https://t.co/ZIroTaJdHf
— 徳丸 浩 (@ockeghem) October 3, 2024
手口としては両方あって
— はふん@すぐ制限かかるの何なん… (@aardvark_typeCV) October 4, 2024
「入力時に盗む」⇒不正アクセスでサイトプログラムにワームを仕込む
「登録したものを盗む」⇒DBに不正アクセス
今回は個人情報の方は「〇以前に登録された方」で後者
クレカ情報は「〇~〇まで使用された方」で前者
と、タリーズ公式HPの説明から読み解ける https://t.co/qpXtKUH0PQ
昔はデータベースからの漏洩が主流でしたが、今はカード情報を入力するフォームが (あるいはそのフォームから呼んでいるJavaScriptが) 改竄され、入力内容がそのまま攻撃者に送られるというパターンが増えています。
— 水無月ばけら (@bakera) October 4, 2024
状況から推察するに、タリーズは後者のパターンの可能性が高いです。 https://t.co/OGyX4TkjG8
今回の場合ならこれ https://t.co/xwzAUkXxI2
— もりも | (@M_Norihiro) October 4, 2024
.「場合による」だよなぁ
— ゆいが (@enslaved_cats) October 4, 2024
私が仕事してた範囲だと、不正利用のケーストップ2は企業がattackされて洩れたとフィッシングサイトでの入力
前者は登録しない方が確率下がるし、後者は「登録してあるはずなのに?」と気づけるレベルではないので、どちらも「登録したほうが洩れにくい」に当てはまらない😂 https://t.co/QLtvE1Hwoq
とはいえ、契約社員が持ち出したとかもあるのでなんとも。唯、最近はスマホのカメラの性能が良過ぎるので、後ろから撮られてたらとか思うと、胡散臭いサイトでなければ登録しとく方がやや優勢なのかも。 https://t.co/c0JeBLszd4
— *ぽったん*/美根久永/MINE, H. (@seiho_tandoku) October 4, 2024
これあんま知られてないけどそうなんだよね。
— #らいと(きょろ、ちょべりば→ぐ) (@lightjug) October 4, 2024
真っ当なシステムならクレカ情報そのまんまは保持してないので、攻撃者が狙うのは入力のタイミングで情報抜き取ることなのです。
情報保持のリスクだけでなく、入力回数が増えることもリスクが増える行為ということももっと知れ渡ってほしい。 https://t.co/F2MW8k699C
コメント
コメント一覧 (2)
どっちがいいんだこれ
everydayissunda
y
がしました
クレカ情報を渡したくないってのと、無駄遣いを避ける為に……
everydayissunda
y
がしました
コメントする