「PASMO マイページ」よりも酷い?「PiTaPa 倶楽部」 82
ストーリー by reo
総開示社会 部門より
総開示社会 部門より
ある Anonymous Coward 曰く、
先日、PASMO の利用履歴をオンラインで確認できる「PASMOマイページ」の危険性が話題になり、サービスが一時停止する事態になったが、関西交通系 IC クレジットカード「PiTaPa」でも同様の問題があったそうだ。さらにこちらの場合、「ユーザーがすでにアカウントを作成していても、第三者がそのアカウントを乗っ取れる」というより酷い実装になっている模様 (「ブックマクロ開発に」の記事より) 。
PASMO マイページでの問題点は、PASMO のカード番号と PASMO の申込時に登録しておいた名前、生年月日、電話番号だけで登録ができてしまうというものだった。PiTaPa の場合、会員番号と生年月日、電話番号、有効期限、カード ID の下 4 桁、有効期限の情報が必要と、このあたりは PASMO と似ているのだが、PiTaPa ではすでにアカウントを作成していた場合でも、再度登録を行うことでアカウントを作成できてしまうという点が異なる。そのため、これらの情報さえ分かって入れば、簡単にその利用履歴を確認できてしまうという。
ただし、PiTaPa の場合扱いが慎重となることを要求されるクレジットカード番号が必要という点が PASMO の場合と異なる点だ。
PASMOより酷いわけじゃない (スコア:4, 参考になる)
PASMOより酷い理由として
というのが挙げられてますけど、PASOMOも同じですね。
公式サイトは止まってるので、PASMOのストーリーのコメント [srad.jp]から引用
というわけで、条件は同じ。
PiTaPa会員番号=クレジットカード番号 (スコア:4, 参考になる)
ただし、PiTaPa の場合扱いが慎重となることを要求されるクレジットカード番号が必要という点が PASMO の場合と異なる点だ。
この点について。会員登録時に求められるのは「PiTaPa会員番号」であり、「PiTaPa会員番号=クレジットカード番号」となっている事に注意が必要。
「ブックマクロ開発に」の記事にも、
PiTaPa会員番号がクレジットカード番号と同等でした。なのでPASMOと違いPiTaPaは利用者が番号の取扱いが慎重なことを知っている。*3
*3:まさかPiTaPa会員番号とクレジットカード番号が同一だとは・・・
とあるけれど、PiTaPa会員番号とクレジットカード番号が同一だから、PiTaPa会員番号は取扱いに注意した方がいい、ということを利用者がちゃんと認識しているか、という点は非常に怪しいと思う。
私もPiTaPaを使っているけれど、会員番号がクレジットカード番号と同一であることは気付かなかったし、先の「ブックマクロ開発に」の筆者もこの調査をするまで認識はなかったのでは。
クレジットカート番号の取り扱いには注意すべきとの認識は一般的にあるだろうけれど、PiTaPa会員番号にも同様の認識があるかというと疑問。これは別の観点で怖い。
Re: (スコア:0)
PiTaPa関連を装ったフィッシングサイトを作れば…
チョロイもんよ、って感じですね
Re: (スコア:0)
まあ作っただけで有罪になりますけどね。
Re: (スコア:0)
国内法で違法だ、程度のことが何の抑止力になるんだろうか
Re: (スコア:0)
> 「PiTaPa会員番号=クレジットカード番号」となっている事に注意が必要。
えーっと、ちょっと信じがたい設計なので確認したいのですが、
「おそらくはPiTaPa会員になる時にクレジットカード番号の入力が求められ、
入力されたクレジットカード番号がそのままPiTaPa会員番号になる」
ということ?
なにそれこわい。
メールアドレスくらいならまだあるけど、クレジットカード番号を会員番号にするバカがどこにいる。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:2)
ごめん。前提が抜けていた。
まずラインナップ [pitapa.com]にある通り、PiTaPaにはクレカ機能付きのカードと、クレカ機能付きでないカードがある。
後者は持っていないのでよく知らないのだけれど、ryoさんがフォローして下さっている [srad.jp]のでそちらをご参照。
クレカ機能が付いてないPiTaPaであれば、PiTaPa会員番号を秘密にする意識があったかどうかが問われる話(先のPASMOの件に近い)になるかな。
そして前者については、少なくとも提携カードの一つであるSTACIA PiTaPaについては、発行されるクレジットカードと同じ番号を、会員番号として発行している。
他のカードについては知らないのだけれど、PiTaPa倶楽部会員登録の入力枠(16文字を4文字区切りで入力)を見ると、同様の仕様である可能性が高そう。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
自己レス。
他のカードについては知らないのだけれど、PiTaPa倶楽部会員登録の入力枠(16文字を4文字区切りで入力)を見ると、同様の仕様である可能性が高そう。
一例しか見えてないのに「可能性が高そう」とかうっかり変なことを書いた。他の提携カード使っている人の補足を求む。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
> 他の提携カード使っている人の補足を求む。
私はOSAKA PiTaPa (JCB版)を使っていますが、
PiTaPa会員番号≠クレジットカード番号ですね。
確かにどちらも16桁の番号ですが、全く値が違うので
推測できそうもありません。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
なんとなく推測ですが、「JCB版」だからじゃないでしょうか。
PiTaPaは三井住友カードが運用していますから、三井住友が対応してるVISAとPiTaPaの一体化は可能ですけど、
三井住友が対応していないJCBとPiTaPaの一体化は不可能でしょう。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
とある地銀の提携DC VISA持ってますが、PiTaPaのIDとクレカのIDは全く別です。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
僕のSTACIA PiTaPa(金本バージョン)は、クレカ番号もSTACIA番号もPiTaPa番号も全部別物です。
むしろ、一致してると報告してる人が、どのカードの何版か報告した方が早いっしょ
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
人に言っておきながら自分が書き忘れた><
JCBどす。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
皆さんレスありがとうございます。
私と「ブックマクロ開発に」の筆者は、STACIA PiTaPaの三井住友VISA。
これは「PiTaPa会員番号=クレジットカード番号」になっている例。
そして、
OSAKA PiTaPa (JCB版)はPiTaPa会員番号≠クレジットカード番号(コメント [srad.jp])、
とある地銀の提携DC VISAはPiTaPa会員番号≠クレジットカード番号(コメント [srad.jp])、
STACIA PiTaPa(金本バージョン)(JCB版)はPiTaPa会員番号≠クレジットカード番号(コメント [srad.jp])。
なので、これはSTACIA PiTaPaの三井住友VISA限定の話、かもしれない。
taka2さんの推測 [srad.jp]のように、三井住友カードが絡んだVISAのPiTaPa限定の話、かもしれない。
なので、トピックの例も、私の話 [srad.jp]も、一例ですよ、全てのクレカ付きPiTaPaがそうではないですよ、(会員番号とクレカが一致していないなら、それはそれで少し論点が変わってくる)という点はご留意頂ければ。
# トピックになった内容だからといって、隅から隅まで鵜呑みにしてしまうのは本当にいかん。失礼しました。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:2)
おそらく PiTaPa というシステムについて誤解されていますね。
「ポストペイ」=「運賃後払い」というシステムのため、PiTaPa そのものがクレジットカードの一種になっています。運用は三井住友カード。(だから申し込みには、与信審査などがあります)
で、PiTaPaにはさまざまな提携カード [pitapa.com]があり、これらは入会すると「PiTaPaカード」と「クレジットカード」が発行されます。
そのとき、二つで同じカード番号になっている場合がある、ということなのだと思います。
「申し込みに使ったカード番号がそのまま会員番号になる」のではなく、
「申し込んだら、同じ番号が割り当てられたクレジットカードとPiTaPaカードが届く」ということです。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:2)
一部重複になりますが失礼。
PiTaPaにはいろいろ種類があるのですが、おおざっぱに分けると、
1.発行主体がPiTaPa
1a.PiTaPaが単独で発行している単体の「ベーシックカード」
2.発行主体が提携先
2a.クレジットカード無しでPiTaPa単体で発行しているもの(Osaka PiTaPa Liteなど)
2b.クレジットカードとセットにして発行しているもの(クレカとPiTaPaの2枚)
2c.クレジットカード一体型(1枚だけ)
PiTaPaのサービス開始当初は、メインは2b でしたが、この時点では、クレジットカードとPiTaPaはセットで作らされる割にほとんど無関係でした。請求すら別々だったぐらいです。当然PiTaPa会員番号≠クレジットカード番号でした。
その後、2c.のクレジットカード一体型PiTaPaが出来たのですが、一体型カードでも必ずしもPiTaPa会員番号=クレジットカード番号ではありません。たとえば「PiTaPa機能付クレジットカード会員の方は、必ずカード裏面の「PiTaPa会員番号」を入力してください。 [smbc-card.com]」などと案内されています。
逆に、PiTaPa会員番号=クレジットカード番号であるような案内をしているところが全くないので、STACIA PiTaPaがPiTaPa会員番号=クレジットカード番号としているのだとすると珍しいパターンなのだと思います。
#PiTaPa会員番号=クレジットカード番号という仕組みだとPiTaPa会員番号として決済以外の目的でクレジットカード番号を提供/収集することになるので、いろいろ大丈夫なのかすごい疑問。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
まあ、私も
> そんなシステム作った奴はバカだな。
には同意します。家族カードなんかは別の番号を割り当ててるわけで、それと同じことをすればよかったわけですよね。でも、
> PiTaPa側(?)はその問題をチェックしていなかったのかと。
これは無理じゃないかな。
> そういうシステムなら全PiTaPaカードの番号とクレジットカードの番号が登録されてるはず
ベーシックPiTaPaのようにクレジット機能のないPiTaPaもありますし、
PiTaPa倶楽部側でクレジットカードとしての利用に関して何かできるわけではありませんので、
PiTaPa側にはクレジットカード番号が登録されている理由がありません。
今ちょっと確認しましたけど、「お客様情報の照会」画面では、基本情報として、
・会員番号(16桁のうち中の12桁は*で伏せ字、冒頭二桁・末尾2桁のみ表示)
・氏名
・生年月日
・金融機関・支店
以上の情報が表示されています。このうち金融機関・支店については
> 金融機関が表示されない場合は、提携先のカード会社にご確認ください。
という注釈表示があります。
提携カードの場合、決済に関しては提携カード側に丸投げで、
提携カード側が別途クレジットカードを発行しているかどうかなんて、PiTaPa側は関知してない感じです。
Re:PiTaPa会員番号=クレジットカード番号 (スコア:1)
> 「おそらくはPiTaPa会員になる時にクレジットカード番号の入力が求められ、
入力されたクレジットカード番号がそのままPiTaPa会員番号になる」
さすがにそれは違います
申し込んだ時に登録するクレジットカードとは別の番号がつきます
クレジットカードみたいな16桁番号がついてますが、申し込んだ番号とは全然別です
あと、持ってないので知らないけど、Pitapa機能付きクレジットカードの場合は、同じ番号になのかも?
そうだとしたらたぶん元コメントの人はそのことを言ってるんだと思います
SAPICA (スコア:2)
札幌市営地下鉄のSAPICAは更に酷くて、SAPICA番号だけでアカウントが作れます。
しかも、三ヶ月(だったかな?)ログインしてないと自動でアカウントが削除されるので、再び新規アカウントを作れという仕様。
もう乗っ取ってくれと言わんばかりです。
今見たら「メンテ中」で閉鎖してますね。
時期的に関連してるかも。
http://www.sapica.jp/ [sapica.jp]
Re:SAPICA (スコア:1)
2chのVIPあたりで祭になれば、大火災になってた恐れがありますな・・
早期にサイト止めて正解ですね^^;
--探せばもっといろいろありそうな気がしてきたぞ!
有効期限は (スコア:1)
クレジットカードの解約 (スコア:0)
某クレジットカードの解約をさっきやったのですが、
電話の音声ガイダンスに従って人間との応対が無いまま、カードの番号、登録電話番号、生年月日の入力だけで済んだ。
途中登録パスワードを要求されたが、判らなければそのままお待ちくださいとあり、入力をしなくても問題なく解約を完了できた。
(恐らく電話番号と生年月日で認証の代替としたのだろう。)
それが良いのか悪いのかはさておき、正直楽で良かった。(そもそも解約したから後は関係ないしね!)
オンラインショップ等が上記情報を入手するのは比較的簡単なので、悪戯しようと思えば色々できるの鴨。
牧歌的な時代とネットの時代の狭間って事なんでしょうね。
こういうのは要求仕様策定段階でどうしても利便性に流されやすいので、公益を守る為として国がガイドラインを作るべきじゃないかな。
#でも実際に出来上がるのは天下りの認定団体だったりしてな。
Re:クレジットカードの解約 (スコア:1)
牧歌的云々じゃなく、財布を盗まれたとか本人が死んで家族が利用停止させたいとかいう時に迅速に使用停止に持ち込めるように
停止や解約は比較的容易にできるようになっている、ってことなんじゃないですかね。
停止後、本人の訴えで復活できないとなれば危険ですが、そうでないのであれば停止出来る方がより安全側なのではないかと。
Re: (スコア:0)
解約なんだから、本人が気づいた時点で原状回復できるから、問題ないのでは。
一方、情報漏洩は原状回復が不可能なわけで。
レノボも・・・ (スコア:0, 興味深い)
最近レノボのネット販売で買い物したんだけれど
ここのサイトもEメールアドレスと注文番号だけで「住所、氏名、注文した品」が
わかるようになってるよ。
注文確認メールからは特に注文番号を他人に教えるなというようなことはない察せれない。
サイトに接続して(ん、注文番号ってパスワードみたいなものじゃん)とやっと気付くレベル。
だからといってこれが悪いとは俺は言わないでおくけどw
Re: (スコア:0)
注文番号はセッションIDみたいなものだから、ユーザIDよりは秘匿性がある。
それに、その注文番号で閲覧できるのはその注文に関する情報だけだから問題がない。
もし、その注文番号でその人の情報が全部みられるようになってるのなら、それはアウト。
Re: (スコア:0)
住所・氏名がアウトでなくて他になんの情報が足されるとアウトになるの?
あと、注文番号も10桁程度の連番なのでユーザーIDと変わらんのですよ。
Re: (スコア:0)
浩光がアウトと言うとアウトで、セーフと言えばセーフです。
言い換えれば、セキュリティゴロの金になりそうなものなら、乗車履歴だろうとアウト。
金にならなさそうなら個人名だろうと性癖だろうと、セーフです。
Re:レノボも・・・ (スコア:2)
確かに、少々読解しにくい文だけど、この場合文末の
>> レノボが連番かも知らないけれど・・・
は文頭に「レノボが連番だった場合」と書いてあるのと同義だよ。
なので
> ってなぜいえるの?
に対しての返答は「なぜも何も、元コメも『いえる』と言ってない」
になると思われる。
#これで私の方が読み違えてるとかなり恥ずかしいからID
「PASMOがやられたようだな」 (スコア:0)
「クックック、ヤツは我ら暴露四天王の中でも最弱」
「jbeefごときに負けるとは・・・」以下略
登録には「カード ID の下 4 桁」が必要です。 (スコア:0)
登録にクレジット番号とは異なる「カード ID の下 4 桁」が必要で、カードを持っていないと登録できないんで
基本的には盗まれない限り大丈夫だと思うんですが、認識が間違ってますか?
Re: (スコア:0)
カードIDがICカード裏面のIDiの事ならチャージしたときや買い物したレシートに下四桁が印字されてないと良いですね。
# 事業者によって異なりそうだけど、仕様どうなってたかなー?
Re: (スコア:0)
元ネタ確認してませんでした、、、
カードIDがレシートから入手できてしまうことが問題視されてました。
とりあえず交通機関以外でIC機能を使っちゃダメですね。
Re: (スコア:0)
こういう履歴を見たがるのは全く見ず知らずの第三者じゃなくて、知人や恋人やストーカー化した顔見知りを想定すべきです。
お手洗いにでも立った間にカードの現物を見てナンバーを控えられたらおしまい。
これが例えばクレジットカードなら、気軽に出来るからといって番号を控えておいて適当な通販サイトで悪用なんてことをやってしまったら警察が動く騒動になるし、その場合でも金の問題なのでカード会社に連絡すれば被害は回復できる。
でも知らないところで履歴を見られていた場合は気付きようもないし、被害を回復する方法もない。記憶を消してくれるなら別だけど。
Re: (スコア:0)
Re: (スコア:0)
なんか
「俺のスピード違反よりも、あいつの一旦停止の方がより重大だから俺なんかよりあいつを捕まえろ」
と警官相手に説教だか言い分けだかわからんような事を言い出す暴走族くずれのジジイのような理論展開ですね。
完全に意味の無い問題の相対化、すり替えですね。
問題があるなら相対的な問題の大きさなど関係無く絶対評価で指摘をする。
問題は見つけた中で優先順位を付けて一つずつ処理する。
これが基本でしょうに。
まして、警察官がいなければ取り締まる人間がいないので統計上違法行為は発生しない、故に警察官は取り締まることで犯罪件数を増やしているんだ!みたいな陰謀論の尻尾の先に付いた犬の糞みたいな論理はかなり無理がありますよ。
Re: (スコア:0)
それは違う。
問題に絶対的な評価方法などない。
問題とは周囲の環境との係りにより発生するものであり、そしてその環境と言うのは流動的なもの。
あなたは今の日本の法律が全世界未来永劫通用するものだとでも思っているのですか?
多くの事柄は概ね安定であるから、ある程度絶対的な見方もされるが、まだまだ流動的なものも多い。
そして新たな問題が発生し新たな評価がなされる。それは過去の類似例との相対的評価によって行われる。
あなたは優先順位をどうつけるの?
とるに足らない問題から重大な問題まで、いったん同列に扱ったうえで優先順位を付けるの?
そんなのは問題の発生していない時にやってください。
Re: (スコア:0)
お前がなぜ全世界未来永劫の話をしているよく分からんが、話題になってるのは日本の現地時間2012年3月9日だぞ。
あと
とるに足らない問題から重大な問題まで、いったん同列に扱ったうえで優先順位を付けるの?
とるに足らない問題か、重大な問題かを判別することが優先順位を付けるってことだろ?
普通は全部同列に扱ってから判別するだろ?
何を言ってるんだお前は。
Re:はあ・・・ (スコア:2)
嫁ハンが知っている…
浮気調査がらっくらくぅ。
Re:はあ・・・ (スコア:1)
e-taxの脆弱性を見つけて噛みついた、とかじゃないだけマシと思うしか。
# はまちや2あたりに期待?
Re:はあ・・・ (スコア:1)
PiTaPaカードには社員証にもなるサービスがあるようで
部長 「おい、30分の遅刻だぞ。」
社員A「すみませーん、電車が遅れてしまって……」
部長 「君の住んでいるマンションは駅のすぐそばだったな。」
社員A「そうですが、それがなにか?」
部長 「さっき君の生年月日と電話番号と紛失時の為に提出してもらっていたPiTaPaカード番号を使い、利用ログを見てみたが改札を通るのが40分遅れていたぞ。」
社員A「げげ」
部長 「しかも君と同じ駅を利用している我が部署のアイドル○○ちゃんは8時に改札を通り8時40分に会社前の駅から出てコンビニでサンドイッチを買っている。これはいつもと変わらない時間だ。」
社員A「げげげげ」
部長 「つまり電車も遅れてなんかいない、完全な嘘という事が丸わかりだ。さあ遅刻届け出しとけ。」
社員A「申し訳ございませーん」
という感じで寝坊がバレるかもしれない。
Re:トピックに対する疑問に対してスコア下げた上に、まともな反論がないのは納得がいかない (スコア:2, 参考になる)
って自分としてはもっともなつもりの指摘を書いたつもりなのに、
私は真面目に言ってるんだけど。
そんなに真面目がご希望なら茶化さずにマジで言ってやる。単にお前の反論がおかしいだけだ。お前は客観的に見るとこれらは誰がなんと言おうと問題ではないので、この問題を指摘する奴は犯罪者に等しいと言う事を言っているだけでしかない。
お前の真面目がどうかなんて関係無く、内容がアレだと言う事をまず理解しろよ。
世の中のキチガイは大抵真面目。真面目なら何でも許されるなら「確信犯」なんて言葉はこの世に存在しない。
元ネタ読んだけど、これなら普通のクレジットカードより堅牢じゃない?
自分の財産を守ることより、カードの利用履歴情報の方が重要なの?
まず第一に「普通のクレジットカードより堅牢じゃない?」と言うがそんな事実は無い。お前が認識している「普通」がどれだかしらんが、俺が使っているカード屋は
・Webサービスに登録すると登録確認の通知が郵政メールで届く。そこにある認証コードを入力しないと一定期間後Webサービスの利用は停止される
・カードにWebサービス登録用のIDが同封されている。登録するにはこのIDを入力する必要がある
など対策が取られていた。ここでワーストケースを「普通」などとして基準に出す事がおかしい事が分かる。
そしてワーストケースを基準にして「それより堅牢だから問題ない」という論法が以下におかしいかは、これはすでにお前が部分引用したコメントに指摘が出ている。
「俺のスピード違反よりも、あいつの一旦停止の方がより重大だから俺なんかよりあいつを捕まえろ」
と警官相手に説教だか言い分けだかわからんような事を言い出す暴走族くずれのジジイのような理論展開ですね。
完全に意味の無い問題の相対化、すり替えですね。
問題があるなら相対的な問題の大きさなど関係無く絶対評価で指摘をする。
問題は見つけた中で優先順位を付けて一つずつ処理する。
これが基本でしょうに。
この場合の行動は「より酷いシステムのクレジットカード屋があるのでそこも是正を求める」か、あるいは「自分は問題を感じないので放置」かどちらかであって、問題であると認識している人に「もっと酷い例にくらべてマシだから問題ない。騒ぐな」等と言うのは、自分は他人ではないと言う基本が理解できていない。
続く文だが
日本の場合個人情報保護法を錦の御旗にすれば大企業や役所に対してもクレームが通るから、
それに快感を覚えて、何でもないことまでセキュリティーホールだとこじつけることが目的になっているとしか思えない。
こんなもん「うちはそういうポリシーです」って言って堂々とやれば違法でも何でもない話でしょ。
なんか、総会屋やエセ人権屋と同じ臭いがする。
そこまでして、利便性やコストを度外視して誰が得するの?
このなかで事実は
・個人情報保護法を錦の御旗にすれば大企業や役所に対してもクレームが通る
この一点しか無い。しかし、法律違反を指摘すれば是正するのは当然だと言う話でしかない。
一方、個人情報保護法は個人情報の範囲や取り扱いを明確に定めており、これを超えたクレームを入れても通ることは無いだろう。
それ以外はお前の妄想でしかない。書き出すと
総合的にまとめるとお前はこれらは誰がなんと言おうと問題ではないので、この問題を指摘する奴は犯罪者に等しいと言う事を言っているだけだ。これについても、すでにお前が部分引用したコメントに指摘が出ている。
警察官がいなければ取り締まる人間がいないので統計上違法行為は発生しない、故に警察官は取り締まることで犯罪件数を増やしているんだ!みたいな陰謀論
次に、今回のお前のコメントだが
こんなことでトピックが立つなら、情報漏えいがリスクではなくて、いわゆるセキュリティゴロのようなものにクレームを入れられることがリスクになってない?
どっかの地方新聞のユスリ記者みないたものとどう違うのか教えて欲しい。
それに対応するために不便になるのも、コストを負担するもの利用者だ。だからちゃんと考える必要がある。
これも全く同じで「問題指摘は「こんなこと」程度であり、このクレームはユスリ記者と同じである」と決めつけている。
さらに「不便になるのもコストを負担するのも利用者」などと一方的に言っているが、少なくともセキュリティと利便性を両立しているサイトは多数存在するし、セキュリティ確保のコストを利用者に転嫁するかどうか決めるのは利用者では無く提供者だ。もちろんセキュリティを蔑ろにした結果浮いた金を利益とせず、利用者に還元される等と言う保証もどこにもない。
総合的に見てお前は事実と推論を区別できてないのが致命的なんだよ。
そんな仮定に仮定をかさねて指摘する奴が犯罪者と同等などレッテル貼りをするだけのコメントがマイナスモデレーションの対象になるのは妥当だろうが。
Re: (スコア:0)
ワーストケースも何も、クレジットカードはWebサービスに登録しなくても、カードに書かれている情報が分かれば他人の金で買い物できる。
カードを他人に見せて悪用されてもユーザーの責任だろ。
それが、PiTaPaの場合は、乗車履歴を見られるという金銭を取られるよりも軽い問題で、しかもユーザーではなくてカードを発行する企業の責任だという。
リンク先の最後にあるけど、本音はこれじゃないのかと疑っているわけ。
システム作る会社さん、問い合わせ待ってるからね。今回も。
ピタパクラブだから、アイテック阪急阪神と、大阪市営地下鉄とピタパ協議会と京阪◯◯とあたりからの問い合わせは歓迎するよ。
優しい解説と改善提案するから僕を雇って!(違
エンドユーザーの責任を問うても金は取れないけど、企業なら金になると。
だから私は「総会屋」「エセ人権屋」「ユスリ記者」という言葉を使ったわけ。
Re: (スコア:0)
・Webサービスに登録すると登録確認の通知が郵政メールで届く。そこにある認証コードを入力しないと一定期間後Webサービスの利用は停止される
・カードにWebサービス登録用のIDが同封されている。登録するにはこのIDを入力する必要がある
それどこ?
出光カードだと、カード番号、名前、生年月日、有効期限、セキュリティーコード、暗証番号で登録できる。
これが普通かなと思ってたんだが。
しかし、こまで気にするような人が使うサービスなのかな。ま、そろそろ厳しくしておいた方が良いかもしれないが。
と言うわけで、教えて。乗り換え検討するから。
Re:トピックに対する疑問に対してスコア下げた上に、まともな反論がないのは納得がいかない (スコア:2)
ヨドバシカメラのゴールドポイントカードを先日初登録したけど、郵送されてきた台紙にあるコード入力が必要だったよ。
あとファミマのクレジットカードは暗証番号郵送っぽい。
https://service.famimacredit.co.jp/ftps/top.do [famimacredit.co.jp]
これは完全に印象だけど、銀行系のクレジットはそのへんしっかりしてそう。
的外れな指摘だから仕方ない (スコア:1)
たぶん「自分としてはもっともなつもりの指摘」だけど人から見たら的外れにしか見えないからそんな扱いなんだと思うよ。
なんでかというと、今回の件とクレジットカードの履歴とは何も関係が無いから。
カードの扱いも情報の重要性も異なるから、そもそも比較対象として間違ってるわけよ。
比較するならSAPICAや他の交通系カードと比較しないと。
かつ、関係ない履歴情報の話なのに、設計が悪いせいでクレジットカード番号の漏洩にもつながりかねないという話になっているから。
それのどこが普通のクレジットカードより堅牢なの?
Re: (スコア:0)
リンク先に書いてあるのは「クレジットカード番号の漏洩にもつながりかねないという話」ではなく、
「クレジット番号が漏洩したら乗車履歴が分かる」ということだけど。
私はクレジットカードの履歴の話はしてない。
ほとんどの人は、履歴よりもまず自分の財産が守られるかどうかがセキュリティとしては優先事項だと思う。
例えばクレジットカードを他人に見せて、それで他人に買い物をされたらクレジットカードの所有者の責任だよね。
「カード番号と使用期限が分かれば誰でも買い物ができるシステムが悪い!」なんて誰も言わない。
それが、交通系カードの場合は乗車履歴の場合は会社の責任になるのが何故なのか分からない。
そんな法律はどこにもないし、それこそブログ主の独自の自説に過ぎない。
他人に財産を取られるのはユーザーの責任で、履歴を取られるのは企業の責任だという理屈は珍妙に思う。
で、最後は「優しい解説と改善提案するから僕を雇って!」でしょ。
金を取りやすいところに責任を振り向けようとしているように思う。
Re:トピックに対する疑問に対してスコア下げた上に、まともな反論がないのは納得がいかない (スコア:1)
モデしたら普通その人はコメントしませんわな。
Re: (スコア:0)
風評被害とか馬鹿発見器とかって言葉があるけれど、こういうのはセキュリティに限らずいたるところにある。
それ自体ははっきり言ってどうしようもない。
いや、何とかしなきゃいけないのかもしれないが、どうしたらよいのかなんてそう簡単にでるものでもないと思う。
みんな、それが正義だと思ってやってるから。
あってる間違ってるがはっきりしてても間違う人はいるし、微妙な問題だって多い。
「だからちゃんと考える必要がある」のは分かる。でも「委縮する。なにも出来なくなる」というのもあってると思う。
となると、リスク込みで声を上げてもらう方が良いのではないだろうか。たぶん。
Re: (スコア:0)
書いても無駄っぽいけど。
> 私は真面目に言ってるんだけど。
これは免罪符にならない。
> 情報漏えいがリスクではなくて、いわゆるセキュリティゴロの
> ようなものにクレームを入れられることがリスクになってない?
情報漏洩はユーザのリスクでもある。ユーザ側がクレームを入れるのは当然。
> それに対応するために不便になるのも、コストを負担するもの利用者だ。
>だからちゃんと考える必要がある。
世の中同様なサービスでもっとセキュアなものはいっぱいある。
回避策の例示もPASMOの件などすでにされているわけで。
> 自分としてはもっともなつもりの指摘
他人から見たら失笑レベルだったってだけです。
純粋にあなたの考えがあまりにも足りてないんですよ。