これは草
攻撃対象の支店を決めたら、名義人の誕生月が分かっちゃう、ハッカーに優しいイオン銀行。 pic.twitter.com/8ejVkdEXO9
— riron博士@184台目 Xperia 1 (@rironriron) September 15, 2020
攻撃対象の支店を決めたら、名義人の誕生月が分かっちゃう、ハッカーに優しいイオン銀行。
口座を作った人の誕生日事に支店を振り分けている。
ローソンも同じ
ローソン銀行も、イオン銀行と同じく、ハッカーに優しい仕様。 pic.twitter.com/DQ61ca5pFx
— riron博士@184台目 Xperia 1 (@rironriron) September 16, 2020
関連記事
【ゆうちょ銀行、ドコモ口座以外の5つの電子決済サービスでも不正引き出しされていたと判明!もうなんも安心できねえ!! : はちま起稿】
【【速報】ゆうちょ銀行からの不正引き出しが見つかった5サービスのうち1つは「PayPay」だと判明!!! : はちま起稿】
この記事への反応
・知らんかった。
マジやばいじゃん!
・JNBやセブン銀行もそうだったような。
・セブン銀行は誕生月ではなく開設月のようです
・jnbはすぐ飛びついたんで本店営業部の口座( ̄▽ ̄)
どんどんやばい実態がわかってくるな
それは振り込み間違いを防ぐための仕様でもあるから。
草
頭が悪すぎて洒落にならん
キャッシュレス推進の弊害と分かってからは銀行叩き始めたのか
これに文句言ってるやつばかじゃないの
口座番号と名義情報は公開情報。
てか俺が作った当初は本店しか無かったぞw
全ての銀行がシステム上名義は確認できる。
本人確認をしていないのが原因。
誕生日を暗証番号にしてる時点で利用者の責任じゃねぇの?
補償しなくていいだろ
ハッカーに優しいツイッター民とはちま寄稿だなぁ!
同じ口座番号で暗証番号3回間違えればロックかかるけど、違う口座番号で同じ暗証番号で次々にログインしてみるのは無制限にできるからなぁ
誕生日 01xx 02xx
これがめっちゃ多いんだよな
この調子でSBI証券まで不正アクセスされて顧客の資産で証券を勝手に買われて現金化までされると?!
金融村オマエラいい加減にしろよ!!
SBI証券の不正アクセスは被害額が一億円だぞこの脳みそツルツル太郎!
アホちゃうか
悪いのは銀行ではなくて、ガバセキュリティの電子決済の責任か
ごちゃごちゃ文句いうやつ多いからな
確かそうだよね思い出した
いくつかの支店名から好きに選ぶ方式
わいはある鳥の名前のにした
アホちゃうか
何が言いたいんだろう
華為、Xiaomi、OPPO、VIVOとか使っても問題なさそう。ガバガバだし(笑)
不正ログインから株売却、同一名義口座(もちろん偽造身分証明使用)への送金までのフルコース
おるの?
恐ろしいねぇ
それ自体がセキュリティホールやぞ。
おるで、俺
そんな銀行存在しないけど
あー今は三菱UFJ銀行だな
年は取りたくないねぇ
いや、最初から分かってる人は銀行が悪いと言ってたよ
何が何でも銀行のせいにしたくない人が全部ドコモに責任被せようとしてたけど
今回の問題の火種は銀行側にある
ドコモは小さな火にガソリンをぶっかけただけだ
火の気が無ければガソリンは爆発しない
金をおもちゃみたいに扱えばこうなるわな
根本的に悪いのは銀行
Web口座振替申込時の本人確認が甘いからこうなる
アホはおまえや
リバースブルートフォースの効率が格段に上がるだろ
最強
特定の店に強力に紐付けされたポッと出の銀行とか信用する方がおかしい
まさか無関係の銀行口座にまで害悪を及ぼすとはさすがに予想できなかったわ
たった365回の試行で突破されてしまう
4桁数字の暗証番号は日付にしているやつが多いのを知っている犯罪者は
必ず日付として存在する番号から試行する
なので0131と0132のセキュリティリスクは実際の数字以上に違ってくる
4桁暗証番号は試行されない前提であるが何十万以上の口座に対してまぐれ当たりを狙われることもある
確率を下げておくに越したことはない
誕生月によって割り振られる支店名が決まるって事?
ってことすら分からない人が多そう。
ワイはルビーやなw
オンライン決済システムが普及した当時(20世紀)は、暗証番号は最良の防御手段と思われていた
21世紀に入って新手の攻撃手段が発達したが銀行界は見て見ぬふりをし続けた
そのツケが回った
古い銀行は設定できてたのが狙われたんだろ?
それ、ネットバンキングで振込先を間違えないように改善してそうなった。
昔はわからなかった。
それをやめろなんていうことはできない。
「わかったわ。教えるから銃を降ろして。0721よ」
「0721?オナ二ーか。とんだスケベ女だな。クックックッ」
「ち、ちがうわ。ママの誕生日よ」
「ふーん?」
ドコモ「銀行が認証してるからヨシ!」
銀行「ドコモが合格にしてるからたぶんヨシ!」
ユーザー「ドコモと銀行が認証してるから絶対ヨシ!」
暗証番号が推測されやすくなるってことなんだろ。
わかんないの?
利用者がうかつなんだけど、保証しなくていいとまでは言えないだろ。
?
なんで?
誕生月の宝石が支店名に設定してたから若干引いた
イオン銀行から強制チャージなのになんかゆるくて放置中
なにトンチンカンなこと言ってんだよ。
誕生日は客の過失になると、規約に書いてるし
実際にクレカや銀行の補償減額対象になるけどな
今問題になってるケースは逆なのよ
めっちゃ簡単に言うとパスワードを固定して、口座番号を総当たりって感じ
だから支店番号で誕生月がわかっちゃうと上2桁を固定できちゃうからアタリを引く確率がめっちゃあがるって寸法
は?
リスク下がっても結局4桁暗証じゃ現実的に可能な確率の範囲なんだよね。
キャッシュカードのゲンブツと組み合わせることで無敵のセキュリティーになってる
連携はカードなしで暗号だけなのにちょっと緩すぎたんだよな
新しく口座作る時にやめろって言われるぞ
イオンやローソンが大馬鹿なのは当然ですな
今まで本当にこういう下ろされ方されてなかったのかねえ
預金者もわかんないだけで被害見つかってないだけじゃねえの
全抜きした不要口座だから分かりやすくして放置するつもりだったが無理だった
そのくらい現実のセールスマンとか相手だとセキュリティーが弱まる
LINEもな
暗証番号誕生日にするアフォが一定人数いるからね・・・
暗証に自分の誕生日設定できないけどな。まあそれに近そうな数字で予想することはできそうだけど
イオンはともかく今回のパターンだと誰かの誕生日ってだけで成立するから存在する日付を利用する事自体がアウト
個人宅に色々送られてきそうやな
今までは筆跡鑑定に印鑑の鑑定等々してたけど
全て出来ないもんな
が、全アタックの前には全くの無意味だ
完全総当たりは無駄が多いから多分ヒット率高めの0101〜1231の日付ベースに限定してると思うよ
ニュースサイト見ろ。
老害はネットバンク使わないから知らないか
口座番号と名義はメールアドレスみたいなもので
機密情報ではない
「世界に乗り遅れる! 恥ずかしい!」を標榜して
印鑑その他の紙ベースをとにかく潰そうとしている連中の本音が見えたね。
なんなら開設した瞬間のコンマ数秒のランダムでもいい