セキュリティコード間違えたのにクレカ決済できるのはなぜ? ヨドバシECサイトに疑問の声 仕組みを広報に聞く
コメント
注目のコメント
PCI-DSS非準拠環境でクレジットカード決済を肩代わりし、さらに明らかな過失により不特定多数のVISA、Mastercard、YJカードユーザーの決済情報を危険にさらし、実際に不正請求の被害まで出したpaypayはなぜ裁かれないのか
明らかな過失があるにも関わらず「イノベーションのため」と謳うならそれはエンジニアとしても経営者としてもやり直したほうがいいと思います
クレジット決済関連に関わる事業者に準拠が求められるPCI-DSSは今年6月から改正割賦販売法により義務化されています
その条項に照らし合わせても明らかな脆弱性であり、さらにVISAが提供しているセキュリティガイドにも抵触する実装です
それどころかセキュリティの専門家でなくても明らかに見逃された脆弱性であることが分かります
このような極めて低いセキュリティ水準の元に我々のカード情報が扱われていることに強い憤りを感じます
今回の事象で不正利用明細が上がってこなかったとしても、つまり決済を行わなかったとしても有効なカード番号とセキュリティコードの組み合わせを大量に作られた可能性があり、ぜひこの点に関しては調査、開示いただきたいですね
NISTSP800-171が世界のミニマムになりつつある中、また、SP800-161によるセキュア開発思想が一般化しつつある今、あり得ない対応と体制だと思います
GAFAではオープンバグバウンティ制度があり脆弱性情報を公募して報奨金を支払ってゼロデイの刈り取りをしていますが、未だにsbもyjもやっていない
これを怠慢と呼ばずなんと呼ぶんでしょうね間違っているなら決済しない方がいいと思いますけどね。
それか他の他要素認証で確認が不要なら確認しない方が良いかと。
確認するなら正しいコード入れるまでは通さないでおきましょうよ。
最近クレジットカードへの信頼に疑念を感じてしまいます。。うっっへぇええーーーーーー。セキュリティコードが間違ってても、って・・・^^;;;;;
こういう公の場で問題点を指摘すると、逆に不正の手口を公に晒すことになるためにあえて書けないけども、さっすがにこのやり方で不正が生じた場合、カード会社はヨドバシに売り上げの入金処理をしてはならんだろうな!保険会社も補填すべきじゃないぞこれ。
私見ではPCI-DSS準拠だろうがなんだろうが、不正決済は発生するので、その辺はカード会社や代行会社はそのノウハウをサイト運営側に提示すべきではないかと思われるぞ。
