パスワードを忘れた? アカウント作成
11313225 story
お金

PayPalアカウントがハッキングされたらどうなる? 22

ストーリー by hylom
アカウントの管理に要注意 部門より
あるAnonymous Coward 曰く、

海外のECサイトにおいては決済方法として広く普及しており、また国内でも最近では利用できるサイトが増えてきた決済サービスPayPalだが、そのアカウントがハックされたという話が週アスPLUSにて紹介されている。

アカウントが窃取されたユーザーは、「身に覚えのない取引を知らせるメール」でそのことに気付いたという。即座にそのユーザーはPayPalに報告したところ、取引は停止され返金処理が行われたそうだが、犯人と思われる口座への直接入金に対しては、入金した金が即座に引き出されたと思われるため対処できなかったという。さらに、それに対しその相手と「直接交渉してください」とのメールがPayPalから届いたそうだ。そのため、クレジットカード会社側に連絡して対応してもらったという。

なお、各所で「なんでその場でパスワードを変えないのか」というツッコミが寄せられている模様。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • おれの場合 (スコア:5, 興味深い)

    by Anonymous Coward on 2014年07月23日 21時52分 (#2644586)

    2013年4月某日
    ******@hotmail.com様へのお支払いのご連絡 メールが来る
     身に覚えが無いのでpaypalに報告

    未承認取引のクレームに関するPayPal調査 メールが来る
     「売り手に対して、この取引に関する情報を提供するようお願いしております。この間アカウントの当該資金はご利用いただけませんが、未承認取引のクレームについてお客様に有利な決定が下された場合、取引の金額を全額払い戻しいたします。」

    stop this transaction のメールを店側に出す

    お客さまのPayPalによるお支払いが返金されました メールが届く
     「PayPalは、売り手に代わって買い手から支払いを受け取ります。売り手は、PayPalが買い手から支払いを受け取った時点で、買い手が当該金額をさらに支払う義務を負わないことに同意します。どうぞよろしくお願いいたします。」

    認められたクレーム メールが届く
    「以下の取引についてお客さまから提出いただいたアカウントの不正使用のクレームが認められました。」

    we have already refunded your money との返信メールが店側から届く

    以上のやり取りが一両日で行われ無事返金されていた。
    モノは Samsung Galaxy 、発送先はアメリカ 、犯人はどうなったかわからず。 住所と名前をさらしてやりたいがなりすましかもしれないので自粛

    このやりとりの数日前にFacebookのアカウントもクラッキングされており同じパスワードだったのがマズかったのかもしれなかった が

    話のネタになったのでよしとした

    • by Anonymous Coward on 2014年07月24日 10時21分 (#2644787)

      自分も似た感じですね。
      なんか勝手に商売に使えるアカウントに昇格されていて、元の状態に戻せないのでPayPal解約しました。

      親コメント
  • by Anonymous Coward on 2014年07月23日 20時22分 (#2644540)

    身に覚えのないPayPalの取引メールが来たので焦ったけど、リンク先をよく見るとPayPalじゃなかった。

  • でも、種々の理由から出金専用のパーソナルアカウントと入金専用(Paypal hareの加盟店)のビジネスアカウントがあるので、パスワードを変えなければいけなくってさらに面倒くさいっす。

    オマケに最近firefoxからログインしようとすると正しいパスワードなのにダメ言われたりして、ちょっと困ってます。

    ※ビジネスアカウントなのに本人登録書類送ってない人

  • by Anonymous Coward on 2014年07月23日 21時11分 (#2644563)

    最近PayPalにログインできなくて焦ったことがあった
    なんとか秘密の質問で復旧できたけど取引履歴は変化なし
    これとは逆にパスワードだけ変えられたのかもしれない
    そもそもパスワードの長さが16文字制限っていうのが危ない気がする

    • by Anonymous Coward

      >16文字制限っていうのが危ない気がする
      あなたのアカウントが総当たり攻撃で破られたということですか?
      そもそも危険なパスワードだったのでは?

      • by Anonymous Coward

        たった16文字制限ではそもそも安全なパスワードを作ることが不可能という話では?

    • by Anonymous Coward

      パスワードを変えようとしたが、結局メニューが見つからず諦めた。
      どこでやるんだ?

      • by Anonymous Coward

        PayPal のサイトはいろいろ面倒ですよね…
        E-Mail を変更しようとしたけど結局できなくてQ&A見たらアカウント削除して作りなおせって書いてあったのでアカウントを削除して PayPal を使うのをやめました。

        • 「パスワードとセキュリティーの質問の変更方法を教えてください。」

          1. PayPalアカウントにログイン。
          2. ページ上部の[個人設定]をクリック。
          3. アカウント情報列の[パスワード]をクリック。
          4. 「パスワード」または「セキュリティーに関する質問」を選びます。
          5. [編集]をクリックし、画面に表示された指示にしたがって変更を完了してください。

          試しにやってみたところ、パスワードを変更する前に、アカウントの所有者であることの証明として、クレカの番号or銀行口座番号をフルに入力するよう求められた。

          また E-mail を変更するには、個人設定からメールを追加して切り替えればいいと思う。

          --
          モデレータは基本役立たずなの気にしてないよ
          親コメント
    • by Anonymous Coward

      英数記号ありで16文字って総当たりに対しても十分すぎる強度を確保できるんだが、何が不足なんだ?

      • by Anonymous Coward

        字数制限があるパスワードって平文で保存してそうでかなり嫌になる

        • by Anonymous Coward

          字数制限と平文保存か否かって直接関係ないだろ

          • by Anonymous Coward

            もちろんちゃんとハッシュを保存してれば問題ない
            ただ、字数制限がなければハッシュを保存してるのはほぼ確実で、
            制限がある場合、外からははっきりしないのでもにょるってだけ

            # LONGTEXTで平文保存ってそんなアホな設計ありうるのかしら

    • by Anonymous Coward

      16文字制限?

      Use 8-20 characters.
      Don't use your name or email address.
      Use a mix of uppercase and lowercase letters, numbers, and symbols.
      Make your password hard to guess - even for a family member or close friend.

  • by Anonymous Coward on 2014年07月24日 0時01分 (#2644631)

    Paypalも2段階認証あるけど、あまり積極的に利用を推進してはない様子。
    銀行系や証券会社もそうだけど、金融系って重要な情報を扱うのに、2段階認証の導入が遅い。
    ハードウェアトークンを採用してるところもあるけど、結構めんどうだしコストもかかるし、
    普通にGoogleなんかがやってるソフトウェアベースのでいいんだけどなぁ。
    PaypalもSMSでの認証があるみたいだけど、日本からは無理ぽいし、そもそも手順が不明過ぎる。

    • by Anonymous Coward

      数字にカンマ含むだけで破綻するようなコードでないとレビューとおらん(レビュアーが理解できないから説明で数日消えるのでやってられない)ような世界ですから。

      これでよくもまあ品質どうこう言えるもんだと思った。

    • by Anonymous Coward
      自分で選んで決めた4桁の暗証番号さえ管理できないIT弱者が大口顧客だったりという、ね。
      • by Anonymous Coward

        さすがに4桁の数字の管理はIT関係ない。チェーンロックだって南京錠だってそう。

        # 個人的には4桁の数字覚えるよりハードウェアトークンの方が楽だし、
        # 物理的実体がある方が管理しやすくてむしろ良さそうだけど。。。
        # 使い方の説明よな。問題は。

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...