2013-05-28から1日間の記事一覧
@d-mateさんのTweet*1より.似たような話は質問してたりするが… 以下はTweetの内容. 話題沸騰のエクスコムグローバルにやられた。 コールセンターで確認できたのは「セキュリティコードのサーバ保存は、カード会社の許可なく自社判断でやっていました」との…
これはすごい. 確かに「売上を落とさない」という判断は,経営判断の1つだ.でもこの会社,明らかに信用失墜してるよね.「売上落とさず信用落とす」とでもいうのか? ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半から…
2つほどにまとめてXCOMGLOBALさんに質問をしてみたよ! …回答来るかなぁ….
北野さんのblogにも,似たような論点の話がかかれてたりしました.
今回のXCOMGLOBALの件は,適切な対応を行うための機能が決定的に欠けてたのではないか?と思わせるような(事実から行える推測も含む)事実の塊であった. 完全に云々というわけにはいかないだろうが,少なくともリスクマネジメント系の要員がいれば,ここま…
攻撃内容が「SQLインジェクションによる攻撃」とあるのに,「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております」という内容がいかにもこっけいである. もちろん,他の侵入経路を潰すという点では有効なのだが,SQLインジェ…
漏れた情報の特性:平成23年3月7日〜平成25年4月23日に申込のあった方々のもの 漏れた情報:名義とカード番号と有効期限とセキュリティコードと住所 セキュリティコードがなんで保存され,漏洩したのか理解に苦しむ(というか,あってはならない). さらに…
5月15日に警察に相談&所轄官庁への第一報とあるけど,もうちょい早く出来なかったのか?という疑念が出てくる. そして,実際に被害を被る可能性のあるユーザに対しては,実際の流出に関する疑義が提示されてから1ヶ月以上放っておかれるというていたらく.…
「4/23 23:00 クレジットカードを預からない運用に切り替え」とあるが,この時点ですでに利用した(=カード情報を流出させられた利用者)に対するフォローアップの話はなし.さらに言うならば,実施対応策に以下のような内容があるが,これで本当に十分か?…
オレは,インシデント発生したサーバ類は,「発覚時の状態を極力保つ」という原則があると思っていたのだが,どうもXCOMGLOBAL社の常識は違ったらしい.4/23 22:00に,DBサーバからレコード類を全部削除したとのこと. えーと…保全は? ちなみにPCFのWebサイ…
しょっぱなに「カード情報の流出懸念」とあるが,この時点ではすでにカード情報は何らかの形で抜かれ,利用された(もしくはされようとした)と考えるのが妥当である. もちろん,カード情報1つだけが使われたところで,いきなりXCOMGLOBAL社から漏れだした…
まず,これを一連のインシデントレスポンスとして見た場合,かなりダメな部類に入る. まず,時系列に並べられる事実のみを以下に抜き出してみよう. 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡 4/23 22:00 DBサーバからクレジットカード…
ここ最近,日本以外の場所に行くときは,基本はローミング(通話の場合)か現地でSIMを調達する(データ通信の場合)かという形で自分のインフラを準備しています. 例えば台湾などは,この運用で基本うまくいく. しかし,この運用ではうまくいかない土地が…
名義とカード番号と有効期限とセキュリティコードと住所…。 ものすごい設計だ…何をどうしたらここまで豪快に漏れるのか…. つうか,近年稀に見る大当たりじゃねえか!助けて!!デッカード!!!
何って…↓ もふもふ…