メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
2022/02/28 12:02
mohno
「最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出」「サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていた」←決済システムで、これか。
2022/02/28 12:10
tasknow
なんじゃそりゃ
2022/02/28 12:12
urandom
こんなハチャメチャな状況だったのか。
2022/02/28 12:12
emt0
一発アウトレベルじゃないかw
2022/02/28 12:14
srgy
「メタップス、不正アクセスやられ放題」友蔵 心の俳句
2022/02/28 12:19
IGA-OS
うわぁ・・・
2022/02/28 12:19
hajimechan0323
この手の決済サービスってユーザーとしては、利用可否を選べないので辛い。
2022/02/28 12:20
klaftwerk
ひどいなあ
2022/02/28 12:23
m_yanagisawa
サービス提供先が気になる。
2022/02/28 12:24
Sephy
事故ってからPCI DSSを慌ててやるあたりお察しなコンプラ
2022/02/28 12:29
matsuedon
ところであまり聞かないサービスだけど、どんなところで利用されてるのか、自分が被害者の可能性があるのかどうかがさっぱりわからん。
2022/02/28 12:33
peachpear
PCI DSS って半ば強制なのかと思ってたけど、違うのね。
2022/02/28 12:34
versatile
ダメップス
2022/02/28 12:35
fellfield
メタップスほどの会社でこれは予想外。
2022/02/28 12:37
kuroyagi-x
メタック○やないか、と書いたら「建設的コメント順位付けモデルAPI」とやらに引っかかるんだろうなという程度の分別はある。
2022/02/28 12:39
studymonster
去年1年間利用したオンライン講座がここの会費ペイ使ってた。この前初めてカードが不正利用されてカード会社から電話が来たんだけど(すぐに再発行手続きへ)ここが流出元か!?
2022/02/28 12:40
sny22015
市況かぶ全力2階建てで度々スレがたつこの会社、またネタを提供するの巻
2022/02/28 12:42
takehiko-i-hayashi
メタップスが運営してる会費ペイを利用しているが、会費ペイ側からは何のお知らせもないのでかなり不安 /ニュース記事→c.f., xtech.nikkei.com
2022/02/28 12:44
Fushihara
やられ放題って表現は笑うわ
2022/02/28 12:44
devorgachem
やられ放題草
2022/02/28 12:45
at_yasu
Oh……決済系の会社すか………
2022/02/28 12:47
nmcli
旧ペイデザイン社(元デジタルチェック社)のほうのシステムがターゲットになったのかな。WebマネーのC-CHECKブランドは見たことがある。www.metaps-payment.com
2022/02/28 12:47
nntsugu
セキュリティコードを保持している、SQLインジェクションできちゃうなどいつの時代に作った決済システムだよ感ある作りやね…
2022/02/28 12:50
Pasta-K
アップリンク京都から連絡が来て注視してたんだけど、そもそも事象の発生から発見、発見からトークン停止・発表、追加調査の完了、全てが遅すぎるし、範囲も結局わからないとか、導入各社はちゃんと怒って欲しい
2022/02/28 12:51
yuangao
セキュリティコードが流出、って保存してるの…。しかも決済専門の会社で…。
2022/02/28 12:57
taketack
社長が有名人
2022/02/28 13:00
saiid
やば過ぎて絶句。
2022/02/28 13:01
duedio
おいおい、セキュリティーコードって保存しないだろう。なんでもらせるんだよ。
2022/02/28 13:02
nowandzen
これが「お金2.0」だったのか(棒 / googleはここのpring 買収してから音沙汰ないけど大丈夫?
2022/02/28 13:07
ykhmfst2012
全力2階建てのアイドル・メタップスさん(id:entry:4716061607318084290)、2階建てみたいなタイトルで記事に。/ 相変わらずやってることがデタラメ。番号を直接DBに保存しないのは基本中の基本。セキュリティコードは論外。
2022/02/28 13:09
noraku
不正アクセスした奴か悪い理論で叩かれなくなるまで逃げると思うのだけど、厳罰が無いからやったもん勝ちの状態が続いてしまっていて、結果ユーザー不利益が多い。国の規制が必要そう。
2022/02/28 13:09
ko2inte8cu
こういう、数え役満は、恥ずかしい。だが、我が社のセキュリティも万全なのかは分からん。
2022/02/28 13:11
modal_soul
メタップスの加盟店がどこか、カードホルダーからはわからないから、現時点でやれることがあるとすれば、海外決済NGに設定可能なカードは設定する、とか、単発の決済額の閾値を下げておく、くらいしかないな
2022/02/28 13:12
deep_one
決済基盤会社が?/コメントを見て。セキュリティーコードはDBに記録しないだけなのでバックドアから抜かれたんだろ。DBに項目あったらさすがに検査通らんだろ。/PCI DSSのチェックは「再度」って書いてあるだろ。
2022/02/28 13:12
fnm
この影響で、赤十字社の他にも滋賀県や映画予約サイト、医学会など、メタップスペイメントのサービスを利用するさまざまな企業団体が決済システムを停止するなど、影響が広がっている。←どこのシネコンか知りたい
2022/02/28 13:13
yskn-beer
これは2022年度セキュリティインシデント大賞ノミネート
2022/02/28 13:14
kimurahayao
アメリカのメタも日本のメタップスもメタメタだね!
2022/02/28 13:17
testedquality
厳しい。これで赤十字社のクレカ支払いが止まってるのが一番つらい。今寄付をが必要なところに寄付できない。
2022/02/28 13:17
Crone
メタップス、PCIDSS準拠を謳ってるから少なくともその水準の対策はしていることになるし、それならここまでやりたい放題されることはないと思うのだけど。再審査の結果はきちんと公開してほしい。
2022/02/28 13:18
houyhnhm
やられすぎだろ。
2022/02/28 13:20
Shinwiki
基盤の方でやられるとなぁ。。とりあえずAmazonはだいじょぶすかね
2022/02/28 13:21
masahiror
流出があって取り下げたのか現在は見れない導入事例ページから少しだけ自分が使うサービスが該当してるかが分かりそう→ web.archive.org ※取引企業一覧と導入企業は違うぞ
2022/02/28 13:22
noname774300
すご
2022/02/28 13:24
takamocchi
500円QUOカード祭りやね
2022/02/28 13:26
Ni-nja
アップリンクのクレカ情報流出の続報きた。内部でパワハラやってるような会社が外注先の選定なんてできないよね…あーあ
2022/02/28 13:26
littlewat
sqlインジェクションって自分でも知ってるレベルの攻撃だけどその対策してなかったんか。。クレカ作り直しやな。。
2022/02/28 13:26
kotas
「やられ放題」のインパクトすごい
2022/02/28 13:28
curaudon
著名なところでは、日本赤十字社、AKB48。ほかにもシネマシティなどがここのサービスを利用している。該当者には順次連絡がいくようだが、自身でも決済履歴は確認したほうがいい。
2022/02/28 13:29
BHitD
不完全なままリリースして走りながら修正する、みたいなことが多々ある歴史の浅いベンチャーに金融・決済を任せちゃだめだし、こんな会社に決済を委託した会社もどうかしてる。委託先評価とかしなかったのかな。
2022/02/28 13:30
pontaboxz
決済サービス系の会社がこんな体たらくなんて、もう事業畳んでしまえ。
2022/02/28 13:30
w1234567
身近なところだとJTBがここの決済サービス使ってるみたいだけど大丈夫なんだろうか
2022/02/28 13:30
indication
ひえぇ
2022/02/28 13:32
fukken
なぜセキュリティコードを保存してしまうのか
2022/02/28 13:35
kurekurechan
カードをオンラインで使いたくない人向けのサービスとか提供してる会社(会費ペイ)
2022/02/28 13:37
regularexception
株価見てみたけど、何で下がってないのかわからん。これクレジットカード会社から切られるやつでしょ
2022/02/28 13:37
GOD_tomato
もうボロボロやないか。
2022/02/28 13:38
srng
セキュリティコードを保存していたならギルティ。存続させてはいけない
2022/02/28 13:38
lont_in
セキュリティコードを保持する理由て不正利用しか思いつかないんだけど、どうなってんだこの会社
2022/02/28 13:39
weboo
おぉ
2022/02/28 13:43
Falky
え?PCI DSS準拠ならセキュリティコード保存してるわけないのでは?シンプル嘘つき案件ってこと…?//非保持だが通信経路で抜かれた可能性を一瞬考えたけど、プレスリリースの表現が正確ならやはりDBを抜かれてるっぽい
2022/02/28 13:44
sho
PCI-DSSがまったく役立ってないやんけ
2022/02/28 13:48
fashi
やられ放題ってひどい見出し
2022/02/28 13:50
masalib
セキュリティコードは保存するなら暗号化しているじゃないの?こんな怖いデータを保持したくないと思わない方が不思議だわ
2022/02/28 13:50
Gka
カード番号と使用期限とセキュリティコード…46万枚のクレジットカード使い放題だな。
2022/02/28 13:53
rzi
12/14に発覚してから1度問題なしってアナウンス出して被害拡大させてんだよね。調査にも時間かかりすぎだし、クレカ扱っていい会社じゃない。
2022/02/28 13:55
tana_bata
どこで使われてんねん
2022/02/28 13:56
paradisemaker
まさにやられ放題だな
2022/02/28 13:57
ryun_ryun
決済サービスがこんなやらかししたんなら、金融庁は事業停止させるくらいの厳しい処分すべき。セキュリティ意識に重大な問題がある企業にしか見えない。
2022/02/28 14:01
suika3417
これはなかなか…
2022/02/28 14:02
greenbow
セキュリティコードは保存してないんじゃないかな。プレスリリースの「データベース」がシステム屋の考えるデータベースとは違う意味なのではないかと。
2022/02/28 14:04
hatomugicha
中身に関わったことが無いから分からんけどセキュリティコードって信販元に送信する時に平文で送るのかな
2022/02/28 14:07
solve0
立川シネマシティのネット予約再開は遠そうだな……
2022/02/28 14:08
kanedasakae
これかなりヤバいな、、クレジットカードのセキュリティコードって普通保存しとくもんなのかな🤔
2022/02/28 14:11
longroof
“不正アクセスやられ放題” #不正アクセスやられ放題 ってニュース見出しの妙なる調べよ(´;ω;`)…
2022/02/28 14:16
degucho
決済基盤の会社で今時SQLインジェクションとかセキュリティコードの保存とか基礎がなってないのは役満だから退場願いたい
2022/02/28 14:22
iasna
実際にどこの店で決済したらこの影響受けるのかわからないんだけど誰か知ってる??
2022/02/28 14:22
quabbin
被害者になっているかどうかわからないのがなんともだな…。
2022/02/28 14:27
takahiro665
XSSじゃなくてSQLの方か。セキュリティコード保持か。マジか。
2022/02/28 14:29
collectedseptember
可能性のある最大値を出してくるのは隠蔽するのより遥かに印象が良い
2022/02/28 14:31
suikax
ずさんだなー
2022/02/28 14:35
k12u
セキュリティコードが流出 = 保存だったのは昔の話。「利用されたクレジットカード」であることからも、流出経路はフロントエンド/SSLなどのオンライン参照と思われる。
2022/02/28 14:36
dreamzico
メタップスって以前からなーんか嫌なベンチャー臭がしてた。イキってるベンチャー特有のあの嫌な感じね。親会社サイトではこの件を掲載してないようだし呆れるね。そもそもSQLインジェクションって初歩的すぎるだろ。
2022/02/28 14:37
forcutie
メタメタやないか
2022/02/28 14:43
cardmics
PCI DSSに準拠してセキュリティコードを保存していなかったとしても、バックドアを仕込まれてしまうとセキュリティコードも流出しがち。だから3Dセキュア対応が最善なんだけど、認知度が低すぎる難点あり…。
2022/02/28 14:48
cocoasynn
使ってたサービスでメタップス利用してたせいで漏洩可能性ある上に特定できないから明細を確認してくれって言われたけどまじで勘弁して………
2022/02/28 14:49
peketamin
セキュリティ資格よりマネジメントをスコアリングした方が経済の健全性上がらないかな
2022/02/28 14:52
kujirax
不正アクセス被害は全てクレジットカード会社負担だけど、不正利用された明細を見落とす人も沢山いるんだろうな。
2022/02/28 14:53
Baybridge
「不正アクセスやられ放題」は下の句だと思うんだ。/メタップス 不正ログインバックドア 不正アクセスやられ放題
2022/02/28 14:53
atoh
カード変えてくださいって通知来てたけど、これのせいか?
2022/02/28 14:56
tomono-blog
スクエニの和田ちんの会社か
2022/02/28 14:58
kitamati
PayPay銀行(旧ジャパンネット)から来てた連絡はこれか。デビットカード再発行でクッソ面倒くさいことになった。キッチリ補償してもらわんとの〜〜
2022/02/28 15:03
north_god
仕手にさんざっぱら遊ばれた銘柄という知識しかなかった会社
2022/02/28 15:03
ka-ka_xyz
これ日本赤十字のWeb決済基盤だったのか……トンガやウクライナがらみで使った人多いのではなかろうか。
2022/02/28 15:06
taruhachi
実際の流出数が利用者数と比較してかなり少ないのでDBから抜いてきたんじゃなくて、トランザクションの盗み見かな。
2022/02/28 15:09
vifam84
ここの決済システム使ってるサービス・企業の一覧、速やかに公表してくれないかな
2022/02/28 15:13
minimalgreen
WooCommerce、EC-CUBEなど利用のECサイトで導入してるケースはありそうだね。導入加盟店は積極的に顧客に注意喚起してほしい。www.metaps-payment.com
2022/02/28 15:15
spark7
自社調査で原因発見できないような会社が決済サービスやってるのがすげえな。/ セキュリティーコドが出た場合は経路の傍受を疑うべきにも思うがDBの項目内にあるな...
2022/02/28 15:17
taguch1
使ってるとこリストで全部出してくれ。
2022/02/28 15:25
pwatermark
被害の可否についてはMetapsではなく、そこを利用しているサービス会社から案内がある、とのこと それまでは取引明細を自分で確認しておかないといけないっぽいね....
2022/02/28 15:25
beginnerchang
ここでメタップス社のビジョン「世界に解き放つ」 / メタップスなんか使っている情弱のクレカ情報ならいくらでも漏れて構わないよ (情弱すぎて顧客としての価値低そうだし)
2022/02/28 15:33
strawberryhunter
会費ペイなら聞いたことあるわ。
2022/02/28 15:37
chirotec
私も問題の期間にシネマシティで決済に使ったカードが知らない旅行会社で不正利用をやられましたので、明細を確認することを強くお勧めします
2022/02/28 15:41
toaruR
googleが買収したところか(ノ∀`)
2022/02/28 15:41
mamimp
初めて存在知ったけどなんか大変そうだね
2022/02/28 15:47
izumiya1948
【id:beginnerchang メタップスなんか使っている情弱のクレカ情報ならいくらでも漏れて構わないよ 】メタップスペイメントの取引企業一覧 www.metaps-payment.com を見てなさそう。
2022/02/28 15:53
orangehalf
立川シネマシティとアップリンクが使っていて、アップリンクは年明けからクレジット決済停止してたのにシネマシティは1月下旬になってから停止したのでメタップスが適切に連絡しなかったせいで被害拡大してそう
2022/02/28 16:01
blastatk
ウップス!(oops)
2022/02/28 16:09
rti7743
決済サービス基盤を提供しているのに漏らしちゃったのか。他の会社が独自決済を作って漏らしたのとはわけが違う。決済が本業なのにザルだな。
2022/02/28 16:21
hiby
何でセキュリティコードを保存してるんですかね…
2022/02/28 16:26
greg_e
ここって、年末にあったコミケのチケットを独占で扱ってたチケットペイのところじゃん・・・・・・
2022/02/28 16:26
WindyWindriyas
おいおい…
2022/02/28 16:29
memoryalpha
滋賀県のデジタル商品券(メタップスの決済システムを使用)だけで1ヶ月で不正請求の被害相談件数が929件もあるのに、情報流出件数593件は信じがたい(´・ω・`) www.kyoto-np.co.jp
2022/02/28 16:33
buzztaiki
1月の後半にカードの不正利用があって、多分これが原因。もっと騒ぎになっていい。
2022/02/28 16:36
hdkINO33
“流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、(略)” あーあ……
2022/02/28 16:37
TriQ
セキュリティコードを保存しているってどういうことなの?過失すぎてマジ罰則を設けてほしい
2022/02/28 16:38
threetimes
明日は我が身
2022/02/28 16:39
yamadar
セキュリティコードって保存するものなのか
2022/02/28 16:44
kirokubbuk1
まじかああぁ
2022/02/28 16:48
sisya
メタップスが、「あまり知らない会社」…?(素直に驚いている)
2022/02/28 16:48
KazuoLv1
問題発生してから再発防止委員会もそうだけど、リリース前の発生防止委員会が欲しいな
2022/02/28 16:49
masudatarou
ボロッボロwww もう解散やろこんな会社ww
2022/02/28 16:52
unticrice
SQLインジェクションって化石じゃないんだ…
2022/02/28 17:05
kappaseijin
Googleに売却したpringは大丈夫なのかな。googleはそれを足がかりに日本の決済市場に参入するつもりなのに
2022/02/28 17:07
negative_goggle
むかしSPIKEって決済サービスだったやつかな。当時 Stripe に名前似てるなーって思ってた
2022/02/28 17:08
kuzumaji
メタップスって佐藤さんもうただの相談役みたいな感じなのね。そりゃあ推して知るべしか…
2022/02/28 17:11
theatrical
こう言うタイプの会社セキュリティが一番大事なはずなのに、素人みたいな点が多いのがなんとも。
2022/02/28 17:16
manaplus
半年以上前から放置されてて草…も生えない
2022/02/28 17:17
GiveMeChocolate
うーわ、俺も可能性あるな……
2022/02/28 17:23
minamishinji
46万件もデータがあったことの方が意外。
2022/02/28 17:49
yo4ma3
クソすぎる。なにもかも。
2022/02/28 17:57
satovivi
該当してるっぽい。カード会社に連絡しないと。
2022/02/28 17:58
nowww
SQLインジェクションって…基本中の基本の対策もしていないのか。セキュリティチェックもしていないということだろ?
2022/02/28 18:04
u-li
“提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在”
2022/02/28 18:06
otchy210
をををい、"セキュリティコードなどが流出"??なぜ保存したし…。
2022/02/28 18:08
shaokuz
カード各社はセキュリティコードを保存してることが発覚したサービスは即座に連携停止くらいのことしてほしい
2022/02/28 18:22
ma2ri
いかつい
2022/02/28 18:41
manotch
www.metaps-payment.com いかつい…。昨年(多分)別の決済サービス?利用店から流出でカード会社から連絡来たんだけど、こういうのはユーザー側かは選べないし分からないから、どうしようもないよね…?
2022/02/28 18:56
raitu
“データベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出”セキュリティコード保管すんな
2022/02/28 18:57
shig-i
いくつかの映画館でオンライン購入ができなっていたけど思った以上に大変なことに
2022/02/28 18:59
snare_micchan
システムのレベルが低すぎて何も言えない
2022/02/28 19:05
takilog
裏側がこれみたいなサービス多そう?だし絶望感あるやろこれ
2022/02/28 19:12
K-Ono
通販とかするもんじゃないね、恐ろしい恐ろしい。
2022/02/28 19:12
Andrion
情報漏洩
2022/02/28 19:15
augsUK
自分のカードも一枚対象かもメールが来たけど、どの手法で抜かれたか抜かれてないのかすら不明なのか。決済を独自構築せずにプロに任せたはずが、最悪の事態に
2022/02/28 19:24
notepc-5522
ここまで公開しておいて、サービス提供先を公開しないのは何故だろう?
2022/02/28 19:27
ext3
やっべー…ここ使ってるサービスから漏れる可能性あるやん
2022/02/28 19:37
anhelo
クレカ決済基盤提供のメタップスペイメントは2/2,同社データベース~最大46万件のクレカ番号,有効期限,セキュリティコード等流出と。サーバ不正ログイン,SQLインジェクション,バックドア設置等様々な攻撃。半年以上前~放置
2022/02/28 19:38
miyahoyo
SPIKEを作ったエンジニアの自画自賛の記事があるんだよね。流出したのは、このシステムなのかな?セキュリティの知識とかなかったのかな?不思議だ career.levtech.jp
2022/02/28 19:38
kikiki-kiki
ヤバすぎいてヤバい of the year 受賞!提携先で使ってたかどうかエンドユーザーは気にしないから分からないし。自分のが不正アクセスされてるか電話でしか確認できないのが不便すぎる。せめてメールフォーム用意して!
2022/02/28 19:40
T-miura
すげえ、決済基盤でやらかしたのか!!
2022/02/28 19:41
awkad
こういうイケイケのエンジニアが銀行システム開発をクソだクソだいってるってマジ?これくらい適当でいいなら銀行のシステムだってもっと速く安くつくれるかもしれないね
2022/02/28 19:41
yahsusu
決済関係でSQLインジェクションとシステムの開発保守に関わった開発者が10人もいれば、誰かが気づいてそうなものだけど。何にしろひどいな。
2022/02/28 19:43
Caerleon0327
コロナ経済対策の一環で地元で発行された電子クーポンを買ったら、クレカで購入した全員の情報が漏れたらしく、クレカ再発行してくれ、とのメールが来た koko-coupon.com
2022/02/28 19:54
mu_hal
何でセキュリティコード保存しとんのじゃゴルァ!!! //ここ使ってる会社の全リストを出すまで何日掛かるかな?まさか出さないのかな?
2022/02/28 20:00
miz999
僕の趣味はセキュリティー関連で大やらかしした会社のキラキラ自社技術ブログ meet.metaps.com やQitta記事を読むことです qiita.com
2022/02/28 20:09
iamwhiteee
日本が運営してるサイトにクレカとか決済情報預けたらダメなのよ。もう5年ぐらい前からPayPalやAmazon Pay使えるところじゃないと絶対使わないようにしてる
2022/02/28 20:12
yoshikidz
これはえぐいな。セキュリティコードまでいかれてるんだ、、、
2022/02/28 20:15
and_hyphen
アップリンクから何回か連絡が来ていたやつだな
2022/02/28 20:26
amunku
こういうの謝って終わりになるのなんとかならないの
2022/02/28 20:29
tattyu
Googleがここのサービス買って無かったか。どえらい訴訟されそうだな。
2022/02/28 20:34
fa11enprince
pringの元親会社のイメージがある
2022/02/28 20:45
aktkro
オーバーキルすぎるし、自分で不正決済に気づかないと何も対処できないから情報が足りなすぎる。
2022/02/28 20:51
youichirou
赤十字に寄付するのにカードが使えないのはこのせいだったのよねー。以前寄付したときのが引っかかってるわ。トンガの時にまたやろうとしたのにできなかった。 / 決済基盤をやってる会社がセキュリティコードって…。
2022/02/28 21:04
moto_2010
クレカ番号、有効期限、セキュリティコードがいかれたらもう不正利用されちゃうね
2022/02/28 21:05
hakasegawa
今は元スクエニの和田さんが社長なのか…。 取引先は大手が多くて自分が影響あるのかないのかわからないのが困る。 www.metaps-payment.com
2022/02/28 21:20
kaiton
PCIDSSを守っていたの?
2022/02/28 21:22
tettekete37564
セキュリティコードは保存しちゃいけないんじゃ?カード決済専門の会社でSQLインジェクションてどういう事?CSRFもセットなんじゃ?
2022/02/28 21:22
evergreeen
一方で創業者は新刊のメタバース本の宣伝に勤しんでいるのであった。
2022/02/28 21:35
ledsun
トークン決済方式では、ユーザーが入力した情報を元にメタップスがトークンを発行しショップはトークンだけ使う、メタップスはトークンが有効な間は入力情報を保存しとく、っぽい。この一時的な保存場所が覗かれた?
2022/02/28 21:36
qq3
サービス提供先教えてよ!怖すぎ!
2022/02/28 21:39
nikuyoshi
“メタップス”
2022/02/28 21:39
yooks
セキュリティコード、こっちで変えられるものではないし、大元で変える手段もないしなあ
2022/02/28 21:43
ryouchi
データベースから流出ってことはセキュリティコード保存する気満々やったんかな? “データベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった”
2022/02/28 21:53
taka2071
これ、お詫びリリース流して終わりじゃないな… SQLインジェクションにセキュリティコード保存など信じられん 自分のカード情報が漏れたのかどうか電話で聞かなきゃなのもクソ。
2022/02/28 22:00
octa08
セキュリティコードを保存するなって、何回言ったら守ってくれるんや……
2022/02/28 22:03
daruism
なんでセキュリティコード保存してんだよバカかよ
2022/02/28 22:10
oqzl
うそやろ
2022/02/28 22:26
Great_Pizza
こういうの見るとクレカ使うの怖くなるけど、もうクレカの情報は漏れるものだと思って使うしかないと思ってる。セキュリティが固そうな超大手ネット通販でもいつかは漏れるくらいには考えたほうがいいかも。
2022/02/28 22:27
Borom
漏洩はDBに限らないというブコメあるけど、オフィシャルにセキュリティコードがDBから漏洩した旨記載ありますね。怖……。 www.metaps-payment.com
2022/02/28 22:32
hate1229
セキュリティコード保存もだし、1月中に、バックドアなどを確認したのに被害届や公表が2月18日ってなんで?本来なら取引やサービス停止レベルだろ?賠償どうすんの?
2022/02/28 22:34
ayumun
中間業者なのかな。こんなの分からんもんなあ
2022/02/28 22:46
nazoking
カード再発行料他、各種再申請手間賃を補償して欲しい
2022/02/28 22:50
uraway
セキュリティコード保存…
2022/02/28 23:19
mamemaki
立川のシネマシティが!
2022/02/28 23:21
dltlt
2012年に MCI 監査で PCI DSS 2.0 認定とってたみたいだけど、失効したままにしたのかな?
2022/02/28 23:28
kabuquery
世の中には平文で保存してあるところも・・・
2022/02/28 23:32
amebacore
せめて流出可能性のあるカードの持ち主に連絡くらいしてほしい。
2022/02/28 23:40
hdampty7
以前、外注に決済システム発注してリリース前の結合テストでソース覗いたらCSRF対策や一貫性対策やロック処理とか全然やってなくてこっちで連日残業で何とか対応して死にそうになった経験がある。
2022/02/28 23:50
fujibay1975
フィンテックブームに乗って上場したときは少し話題になったけど、この会社ダメですね。佐藤航陽って今何してるの?
2022/02/28 23:52
adsty
調査したところ様々な攻撃を受け過ぎていた。
2022/02/28 23:57
kazatsuyu
流出したならもうインシデントじゃないでしょ。アクシデントだよ
2022/02/28 23:59
kuracom
セキュリティコード保存していたんではなくて、フォームから送られて与信に通すデータが全部、バックドア通じてだだ漏れだったんじゃないかな。またはカード情報の入力フォームに細工がしてあったとか。
2022/03/01 00:00
noritada
決済会社は絶対に狙われるとわかっているのに、なぜセキュリティコードの保存のようなことをやってしまうケースが多いのか。
2022/03/01 00:01
bongkura
pci dss 更新してんの?
2022/03/01 00:06
nishik-t
国内ローカルで世界的にはマイナーな決済代行使うのってリスク高いよね。世界シェアTOPレベルのStripeとかPaypalだとセキュリティはしっかりしてそうだし、やられても死なばもろとも的にごまかせそうw
2022/03/01 00:12
lenore
メタップスには契約会社を公表して欲しい。そうじゃないとどこで使われたかが分からん。セキュリティコードを含む情報がDBから漏れたと発表されているが、そうするとVISAなどの規約違反に問われるのでは。保存ダメ絶対
2022/03/01 00:23
jajaja9000
ほええ
2022/03/01 00:31
okami-no-sacchan
自分が被害に遭ってるのかどうかわからん/決済仲介してるだけなのになんでそんなに情報ストックしてんの
2022/03/01 01:23
rna
セキュリティコードはよくあるフォーム改竄で横取りされたんじゃない?と思ったらリリースには「データベース」から流出したって書いてあって真顔になった。
2022/03/01 01:28
ponponhanahana
本当だ。ブコメの通り、取引先が大きすぎる。関係事業者明かしてほしい。どうするのがいいのか。。
2022/03/01 01:39
n2s
記事の論調は週刊誌・スポーツ紙ぽいのではないだけに、タイトルの「やられ放題」だけがむっちゃ浮いてるな…
2022/03/01 02:58
mricopp
ここまでやばいレベルなら責任取れるレベルも超えているので、もう二度と決済事業できないようにしてほしい。
2022/03/01 03:03
crema
私もアップリンクから1月にメールが来ていたのを今日見つけました…😇
2022/03/01 05:09
h_book
PHPなんて使えばこうなる
2022/03/01 05:38
onesplat
こういうガバナンスも能力も企業倫理も無いクソ会社を業界が自浄できないと規制で首を絞められる。
2022/03/01 05:56
TownBeginner
確かJBSこれじゃなかったっけ?調べないとなあ。
2022/03/01 07:04
marumoe-dev
“ニュース”
2022/03/01 07:29
lli
みずほ銀行が出資して協業もしてるね。また頭取の顔が青くなるな・・・
2022/03/01 08:25
hiroomi
”サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。”
2022/03/01 08:51
chromoni
ひどいタイトルだなって読んだら、その通りだった。
2022/03/01 10:13
hachibeechan
'ガバナンスや組織、社員意識などの問題'……じゃなくて技術力の問題でしょ。基礎中の基礎がどれもできてないじゃん
2022/03/01 12:46
yoshikie
PCIDSS認証取ってたみたいだけど、この状態で取れるとなると認証の意味とは、、、となってしまうな
2022/03/01 14:16
TakayukiN627
だいぶ対応が遅い
2022/03/01 14:36
quno
46万件というとカード会社の再発行にかかる費用も馬鹿にならないだろ
2022/03/02 07:42
text-sakura-ne-jp
《関連情報》『クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題 - ITmedia NEWS』www.itmedia.co.jp
2022/03/02 16:12
richard_raw
セキュリティコード保存しとったんかい!/影響範囲がよくわかりませんな。
2022/03/02 21:22
tohima
決済サービスとは思えない杜撰さ。
2022/03/03 08:03
kitaido0
99年会社設立だから20年やってると信用力がつくんかな/PCI DSS認証の問題でもあるんでは
2022/03/03 10:01
asakura-t
↓「コミケの(入場)チケットを扱ってた会社」とあってヤバい?と思ったけど、あれはコンビニ決済のみだった。クレカ利用可だったら色々ヤバかったな。