けんすうさんのツイート: “楽天カードの住所が勝手に変わってた問題、電話で聞いてみたら 1:楽天IDを適当にとる 2:他人の名前、生年月日、電話番号、勤務先を入れる 3:楽天カードの発行申

2017/10/10 23:26:22

tiga

なんだそれ……

2017/10/11 03:13:58

dowhile

こわい

2017/10/11 06:29:20

kujoo

"名前、生年月日、電話番号、勤務先"　で本人チェック（同一人格チェック）してる事になっていて、与信とは別にこれが通れば既存のカードの情報が更新される……？？

2017/10/11 07:34:38

jumitaka

楽しそう

2017/10/11 07:58:57

reachout

だいぶあかんやつ

2017/10/11 08:28:01

nomitori

注意しようがNEEEEEEEE

2017/10/11 09:49:36

hyaknihyak

IDかぶりやすそうだし大変そう

2017/10/11 09:52:44

SndOp

詐称チェックがないのか

2017/10/11 09:53:12

nejipico

本人性って姓名、生年月日、住所だと思ってたんだけど楽天カードは違うのね。

2017/10/11 09:54:00

gesukawa

にわかには信じられないけれども…なにをキーにして同一性判定してるんだ？そして何の必要性があって住所情報を書き換えるんだ？マジで信じられないので続報を待ちたい。

2017/10/11 09:55:26

tadashi_shimizu

こんな事が起こり得るのだろうか？と素直に疑問。

2017/10/11 10:11:28

sub_low

性善説に基づいた仕様だな。ありがた迷惑な機能。

2017/10/11 10:14:20

biztaka

"「定期的にチェックしてください」というのが回答"いい加減すぎる

2017/10/11 10:14:55

miki3k

カード申し込みの時に、既存会員と同じ生年月日や電話番号があれば、既存会員が別IDで申し込んだと見なす？なんでこんな仕様を設計したんだろう。 / 氏名・住所・電話番号・生年月日は他人でも知ることができる情報。

2017/10/11 10:16:20

fishma

まぁ、楽天カードにはお似合いのシステム

2017/10/11 10:17:29

nankichi

twitter.com　もう経営層に話が伝わっていて、改善されるらしい。　楽天の対応、はっや！

2017/10/11 10:23:39

NOV1975

いまいち意味がわからんのだけど、どっちのひとのになるの？

2017/10/11 10:24:51

noemi_itoh

楽天IDとの連携をし易いようにとシステム側でいらん名寄せをして会員データ更新、カード自体は与信審査で跳ねられるがその情報は楽天側にはいかないので固定されると。見事なリモート攻撃というかただの脆弱性やん…

2017/10/11 10:28:09

katsuto_n

名寄せザルすぎてわらう

2017/10/11 10:31:16

kun_p

IDがキーじゃなくて、名前、生年月日、電話番号、勤務先のセットがキーなのか？

2017/10/11 10:33:31

kiyo560808

なんだその仕様。楽天カード持ってなくてよかった。

2017/10/11 10:35:23

airj12

なにそれこわい

2017/10/11 10:36:32

croissant2003

早速改善されるらしく素早い反応大変えらいとは思うが、楽天は糞だという評価は動かしがたい

2017/10/11 10:36:56

pre21

審査が速いカードはCIC照会まで一気に自動化して特定受取で本人性確認しているので、他社も実はある気がする。本人性確認後CIC照会にするべきだが遅くなるよねえ。

2017/10/11 10:38:14

shifumin

ゲームのバグっぽい。

2017/10/11 10:50:53

nanoha3

リプライにある不明請求調査の丸投げもやばい。カード会社の仕事だろそれw

2017/10/11 10:55:06

kuniku

金融庁案件では？　あ、住所など情報まるごと書き換わるのか（ひぇー）、１年に１回使うか使わないけど、停止した方が良いかあ

2017/10/11 10:58:16

kimurahayao

高木浩光さんの反応が楽しみ。

2017/10/11 11:05:08

giyo381

楽天はお買いものパンダだけやってろ

2017/10/11 11:05:12

lastline

意味分からんと思ったら、誰かが他人の名前と勤務先入力したら、そっちにIDが置き換わるという危険仕様なのか。銀行口座の名義とか本人証明などを確認しないのかな。

2017/10/11 11:05:45

poponponpon

意図的にそういう仕様を入れないとこうはならないよね。設計者頭イカれてんのかな。

2017/10/11 11:06:41

doscoy_t

けんすうが楽天カードなんか使うわけない。流石に嘘でしょ

2017/10/11 11:08:40

wwolf

訳わからんｗ何でそんな事になるんだ

2017/10/11 11:15:01

Cujo

「○○分で～」って売りにしてるところはどこもヤバそう？

2017/10/11 11:18:43

tetsuya_m

ふぁっ？

2017/10/11 11:21:34

houjiT

話がもう上に伝わってるので「対応が早い」的な話に収束しつつあるらしい。……いやそれサービス開始時に既に実装されてなきゃおかしいんじゃ。長年サービスしてて今気づく時点で十分て遅れじゃ

2017/10/11 11:22:21

t_massann

このツイートがキッカケで改善されることが決まったらしい。それにしてもちょっと良くわからない。どの情報で申し込んだ人が本人だと判断しているのか？/この人が個人情報公開していたかららしいbit.ly

2017/10/11 11:23:08

petitbang

“危険な仕様なんだけど、「定期的にチェックしてください」というのが回答”あんまりな回答。

2017/10/11 11:24:53

lliilliilliill

また二段階認証必須になってしまうのか…。SMS認証は海外です仕えないので勘弁。

2017/10/11 11:30:37

honeybe

ふぁ！？

2017/10/11 11:32:36

anotokinosobaya

分からない人のために、何でこういう処理が必要なのかというと、同じ人が沢山カード発行して勝手に与信枠を広げることが出来ないようにするため。まーザルっすな。

2017/10/11 11:35:14

kizimuna06

楽天は相変わらずむちゃくちゃだな。過去に勝手に口座開設とかやってなかったっけ？ / やってた→togetter.com

2017/10/11 11:38:48

humid

こっちもかなり怖い“楽天カードで身に覚えのない請求があった際にカスタマーサービスに電話したら「弊社では調査でき兼ねますので、ご自身で請求元と交渉なさって下さい」などと「知らんがな対応」されました”

2017/10/11 11:41:25

maninthemiddle

制度の脆弱性だ。この手の制度脆弱性も公開していくプラットフォームが欲しいところ

2017/10/11 11:41:25

orangehalf

ID別なのに他の属性が一致していたら勝手に名寄せして既存データを上書きとか恐ろしいな。何でこんな運用設計にしたんだろう、上書きする前に既存IDのメールアドレスに確認飛ばして認証後上書きとかならまだわかるが

2017/10/11 11:42:22

gazi4

ポイント民が情報もってそう

2017/10/11 11:44:30

bigburn

“「定期的にチェックしてください」というのが回答”変更しましたメールも送ってこないのか…

2017/10/11 11:45:23

makou

ザル仕様だ。

2017/10/11 11:51:10

qwerton

さすが楽天。詐欺が捗るな！

2017/10/11 11:56:59

sny22015

助けて、楽天カードマン！

2017/10/11 11:57:26

hedachi

糞すぎる

2017/10/11 11:57:27

kurukurucure

やべえなこれ。楽天側としては「名前」「生年月日」「電話番号」が合うはずがない、っていう魂胆なんだろうけど、実際に書き換わってるんだから実はどれか合わなくても大丈夫なのでは？

2017/10/11 11:58:36

mustdelay

なにげに超怖い話じゃない？

2017/10/11 12:00:12

lacucaracha

けんすうは誰にこれをやられたのかが気になる

2017/10/11 12:01:17

enemyoffreedom

脆弱性と呼ぶのもはばかられるほどのザルじゃねーか / 普通こういう強引な名寄せをする時は人力での入念な事前チェックが不可欠だろうが、そういうのにリソース割いていなさそう

2017/10/11 12:01:46

summoned

クズが利用できる情報公開しただけじゃん……炎上させて改善させるつもりだろうけどさっさと炎上してくれないと危険が危ないだけだぞ

2017/10/11 12:09:12

white_rose

どういうこと？？

2017/10/11 12:10:34

sora-papa

過剰適用という最悪の名寄せ仕様。(´・ω・｀)

2017/10/11 12:11:42

igrep

以前見た楽天カードのCMではカードの受け取り時に身分証提示していたように見えたけど、実際にはその認証ができてないのかな。。。

2017/10/11 12:15:57

purereine-kuchikomi

なにこれ楽天カードで悪さする人出そう。しっかりセキュリティしてくれないと怖くて使えない！

2017/10/11 12:16:01

hiby

クソ笑った

2017/10/11 12:17:40

mats3003

さすが楽天としかいいようがない仕様だなあ。

2017/10/11 12:20:01

itotto

どういう発想をすればこんな設計になるんだろう。悪意をもってそうしたと考えないと無理なレベル。

2017/10/11 12:21:37

nabe1121sir

ミキダニに近づいてはならない。

2017/10/11 12:21:54

yazuka08

ちょっと最初何言ってるのかわからなかった。どういう実装やねん。

2017/10/11 12:23:35

ryuukakusan

どうしろと

2017/10/11 12:25:16

slkby

ええ…

2017/10/11 12:25:25

kaitoster

楽天カードって昔から、ある日突然カード会社から使用停止にさせられることがあるからメインカードとして使っちゃダメなクレカって言われてたよなあ・・・。

2017/10/11 12:25:33

tanakakazu

俺も楽天カードだけど、企業の経営者(?)みたいな人でも楽天カードなんだ。

2017/10/11 12:28:39

tkomy

詐欺の手口が複雑化してるのにシステムをシンプルにしてどうする

2017/10/11 12:29:23

r_riv

これ、会社の同僚とかならたいした労力もなく知り得る情報で出来るし、すげぇお手軽にやれてしまうな。こわいこわい

2017/10/11 12:33:42

rub73

楽天だけじゃなさそう。

2017/10/11 12:34:34

alovesun

ガード不能なのかよ…普通にカード会社というか個人情報管理する業者としてもありえねぇ…

2017/10/11 12:34:54

atsushimissingl

まじか詫び石出ないかな

2017/10/11 12:36:30

lady_joker

対策は簡単で、使わないというのが良い気がした

2017/10/11 12:42:53

kibarashi9

なるほど。関わったら負けのやつだ。

2017/10/11 12:47:55

ntstn

楽天でコレなら即発行系のカードローンとかもっとやばそう。使わないが吉。

2017/10/11 12:48:54

ayu118

楽天とはかかわらないのが一番

2017/10/11 12:49:22

bkios

普通にこれ脆弱性だろ。何か利用者に不利益が発生して裁判になったら確実に楽天が負ける。リスク管理できてなすぎわろた

2017/10/11 12:53:18

ka2hik0

対応早いっすね

2017/10/11 12:54:59

take-it

生年月日は変えられない個人情報だから、SNSで公開すんなって広めたい。

2017/10/11 12:56:27

aoi_tomoyuki

使わないぐらいしか対策ないな

2017/10/11 12:56:40

reijikan

よく今まで発覚しませんでしたね

2017/10/11 12:56:50

buu

こういうのは晒しちゃうのが一番。今頃大至急対応の指示が出ていると思うよ。

2017/10/11 12:58:45

imakimam

楽天カード持つやつは情弱って言われてなかった？

2017/10/11 12:59:55

hryshtk

名前、生年月日、電話番号、勤務先をすべて秘密にしよう。なんか工作員みたいで人生楽しくなりそう。

2017/10/11 13:00:17

Harnoncourt

楽天カードなんか使うからそういう目に遭う。

2017/10/11 13:02:07

xevra

さすが楽天。近づいたら負けだ。amazonに対抗する国産勢力が欲しいんだが楽天だけには任せられない。絶対君臨天皇ミッキーの恐るべき帝国楽天には滅んでもらうしかない。

2017/10/11 13:04:12

monday23

「改善されるらしい、対応速い！」って言っても、マイナスが普通になるだけだぞ。

2017/10/11 13:04:14

weep

何を今さら。イーバンク銀行の時からイクナイバンク銀行だったろ。

2017/10/11 13:04:48

nimroder

英語で入れとけばいいんじゃね。楽天様の公用語だし

2017/10/11 13:05:31

konnie

もう対応して改善されることが決定したようだけど、最初の対応ナニ？?「定期的にチェックしてください」って、この程度の意識で金融取り扱っていいんだろうか疑問に思う。

2017/10/11 13:08:09

Panthera_uncia

情弱御用達カードが赤の他人にも迷惑を！

2017/10/11 13:13:09

jun_cham

こわっ

2017/10/11 13:17:08

roller_skate

斜め上の脆弱性だ……

2017/10/11 13:19:53

richest21

某アフィブロガー『楽天カードは顧客満足度No.1です！』

2017/10/11 13:22:53

boyasan

まじなら怖すぎるが

2017/10/11 13:28:15

keijir

セキュリティホールは技術じゃない所から。運用系にこそエンジニア入れてスキーム変えれるようにするべき

2017/10/11 13:28:49

watatane

さすが審査の緩さに定評のある楽天カード

2017/10/11 13:29:48

ninosan

これ見てると楽天ポイントカードがログアウトできないのもただの手抜きっぽいな（アプリ消せば済むだけなので、まったくセキュリティ対策になってない）

2017/10/11 13:30:56

Falky

これは落石注意より注意不可能

2017/10/11 13:34:02

unagiga

楽天のサービスはみんな質が悪いな。社内で英語で話すよりもっと注力すべき事があるんじゃないか

2017/10/11 13:36:04

shgojsergi

すぐにのっとられるセキュリティも怖い

2017/10/11 13:36:39

cheep-int

即対応するらしいけど、本当に速攻で対応しないと解約するだろこれ、、

2017/10/11 13:37:50

mobits

はよ潰れて？

2017/10/11 13:41:59

KariumNitrate

楽天カード怖い。これは拡散して大騒ぎにしないと（義憤義憤）。▼既に対策済みらしい。

2017/10/11 13:42:08

tettekete37564

誰か解説してくれ。オリジナルのクレカとの紐付けポイントが分からん

2017/10/11 13:42:16

Laylack

即即即対応やってよ。

2017/10/11 13:43:38

frontline

えーっ？でも毎月の請求額をいちいちログインしなくても通知メール本文に書いてくれる便利なカードは楽天だけなんだよぅ……（いやまじほんとに個人的にはこれ便利だと思ってる。別にメール漏洩しても金額だけだし）

2017/10/11 13:44:43

smken

対応の早さを讃えるコメがあって不思議なんですけど、そもそも金融機関としてありえへん処理してるのを直すだけだよ？失火したやつが消火してんの見て褒めるの？？

2017/10/11 13:45:04

key_llow

動脈にドデカい穴が空いとるのに対応に遅いも早いもあるかい。

2017/10/11 13:45:46

surfacid

川平慈英いいかげんにしろ

2017/10/11 13:46:22

miraishonen99

こわ

2017/10/11 13:46:42

naqtn

続報 twitter.com

2017/10/11 13:49:21

TakahashiMasaki

楽天のカードなどをつかうほうが悪い

2017/10/11 13:49:28

a-nama-special

あかん。。

2017/10/11 13:50:22

sekreto

今までもこれからもできる限り楽天とは関わらずに生きていこうと改めて思いました。

2017/10/11 13:54:32

neo_Neutral

セキュリティ事案で「障害等発生報告書」（金融庁　様式４－４５）の準備か、担当部門は地獄絵図だな。/名寄せ処理は良いと思うが、本人確認しないで登録情報書き換えてるのが事案だわ。

2017/10/11 13:57:42

quality1

「信用がある」「発信力がある」人が言っているので迅速な対応となる。

2017/10/11 14:01:54

otihateten3510

やばい、どういうことなのか理解できない。やばい。　主語が無いからか？　ブコメで少しだけ理解できた

2017/10/11 14:03:08

kaipu1224

こんな設計で良く通ったなぁ

2017/10/11 14:06:32

raitu

Wow

2017/10/11 14:07:33

crapman

おそらく名前と生年月日と電話番号の３つを複合主キーにしてたんだろうな

2017/10/11 14:08:07

sho

えーと、これ、改善されるまで公表してはいけなかった情報では…… / 対策されたとのこと www.itmedia.co.jp

2017/10/11 14:09:40

iuhya

楽天カード、今までこの仕様だったってことだろ……。ヤバすぎるだろ……。

2017/10/11 14:14:35

hatehateyahoo

楽天つかわなくなったから、カードも解約しておこう。

2017/10/11 14:22:38

neji_shiki

こんな仕様だからポンポン発行されんのか。そら審査に落ちるのがまれですわ。

2017/10/11 14:26:50

Futaro99

世の中の名寄せって言われる仕様はだいたいひどい

2017/10/11 14:30:20

oobatomoyama

けんすうさんのとぼけっぷり。へーそーなんだーのスタンスが嘘くさい(笑)

2017/10/11 14:34:52

sds-page

名寄せして住所書き換えなくても似たような個人情報で登録できないようにするだけでいいだろ

2017/10/11 14:38:27

nora-inuo

楽天カードは使わない方が賢明！？ポイントが貯まるのが魅力なのだが..

2017/10/11 14:38:57

hisomura

止めて良かった楽天カード。

2017/10/11 14:42:36

htnmiki

マイナンバー使えば一意に紐付けできるだろ（すっとぼけ）

2017/10/11 14:44:21

cwmoz22

え！！！！！楽天やめる以外に対策のしようがないじゃん！

2017/10/11 14:50:17

marsrepublic

これ、楽天カードだけじゃないと思うよ。別の会社で本人確認大丈夫か？っていう状態で自動的に大昔作ったカードが名寄せされててびびったことある。これ、なりすましできちゃうんじゃないの？って思った。

2017/10/11 14:55:10

snipesnaps

これ楽天の対応の速さを美談だと捉える人がいるけど、インターネッツ有名人だと素早い対応しただけで、一般人だとうやむやにされたりとかどうなってたかわからないから、楽天カードに対して不信感だけが残る。

2017/10/11 14:57:46

miquniqu

この名寄せの仕方で思い出したんだけど、このまえZoffでメガネ作ったときに「名前、生年月日、郵便番号」で身分証なく前回作ったデータを再利用出来たんだよね。便利は便利だけどわりと危ない。

2017/10/11 15:00:36

chibikujira

No way ;(

2017/10/11 15:13:26

nonsect

クレカブラックのワイ、低みの見物。

2017/10/11 15:18:41

seiroten

対応早いのは拡散されて騒ぎになったからであって、そもそも「おかしいよね」と社内でならない楽天がおかしいし、だから楽天系列は一切使わないと決めている。

2017/10/11 15:21:49

unijam

"与信でとまるんですけど、住所は申請時のにアップデートされちゃうぽいんですよね。"

2017/10/11 15:27:30

hirata_yasuyuki

どこも名寄せ自体はやっているけど、そのやり方が不味いやつ。 / id:frontline 三井住友カードの場合は、Web明細にすると金額付でお知らせメール送信してくれます。

2017/10/11 15:28:38

pollyanna

誰かがけんすうさんの名前、生年月日、電話番号、勤務先を使って勝手にカードの申し込みをしたってこと？それがそもそも怖くないかい？

2017/10/11 15:37:10

wow64

カード申し込んでない平会員のほうが弱いってことかね。名寄せされちゃうのはおかしいような気もするがカードを重複発行しないためとかなのか

2017/10/11 15:46:05

fukken

脆弱性だ

2017/10/11 15:51:12

Lat

対策が取られるまで注意喚起のCMに切り替えろよ。っていっても注意しようがないのだが。／せめて楽天カードの解約手続きはWebから行えるようにするとかしないと。電話が繋がらないから解約できないとか昭和かよ。

2017/10/11 16:09:09

nuitmer11

楽天カードがやばいなら、どのカードなら安全なんだろうか

2017/10/11 16:10:10

aceraceae

確認したら大丈夫だったけどこれはひどいな。

2017/10/11 16:11:49

thnn

楽天カードマンも、存在自体がカード規約破ってる時点でアウトだから。（カードを複数枚もってはならない規約）

2017/10/11 16:16:21

ryokujya

これって更新のタイミングで仕掛けられたらカードそっちの住所に送られるってことだよね。やばくね

2017/10/11 16:20:51

clp5884

なんだこれ、楽天カード使えねぇじゃねーか

2017/10/11 16:24:08

zapperd

リプを見て理解した。こんな糞仕様今まで放置してたのかよ

2017/10/11 16:37:24

pintinho

VISA枠で残してたけど解約して新しいの作ろうかな

2017/10/11 16:41:49

tohokuaiki

“その住所に自動的に”の「その」が何を示すかわからないから何が問題なのか全然理解できない。

2017/10/11 16:46:03

haniwa75

発信力ある人のツイートでなければここまで迅速に対応したかどうか。

2017/10/11 16:52:37

sisya

動きが早いことが評価されているが、ここまで致命的なバグが発見されたのだから、迅速に行動できないほうがまずいと思う。むしろ外部に発見されている状態のほうがまずいと考える。

2017/10/11 17:02:37

nt46

さすが俺でも作れたカード。

2017/10/11 17:06:20

osknabe

これは大変危険。対応はされると信じたいが、まずは自分の楽天IDの情報を確認しよう

2017/10/11 17:07:56

peppers_white

個人情報だだ漏れの時代だと防ぐ手立てなさそう

2017/10/11 17:24:29

pmint

情報が錯綜してて楽天カード利用者だったらイライラするレベル。運営会社の方が大変だわ。電話で聞いた通りに書いてないんだろうな。

2017/10/11 17:24:36

mashori

こわっ。雑に他人の身分作れそう

2017/10/11 18:00:42

Yagokoro

ザル過ぎ！！

2017/10/11 18:02:51

fatmonger

楽天（とヤフー）には関わらない。でアカウント消して正解だった。

2017/10/11 18:05:11

jtw

ちなみに楽天IDとるときにメールアドレス認証されないので赤の他人に責任をなすりつけることが可能な仕様。

2017/10/11 18:07:02

uza_momo

対策した！具体的プランはこれから！何かどこかで見たような…

2017/10/11 18:24:22

shimokiyo

さすがネットの有名人が火をつけただけあって、楽天側も動きが早いな。

2017/10/11 18:29:03

toppogg

　酷すぎる

2017/10/11 19:02:06

fujifuji1

楽天が企業として嫌いなのでもちろんカードは作ってないし、極力利用しないような努力してる。努力が報われたわ。

2017/10/11 19:12:13

mtane0412

対応するらしい

2017/10/11 19:25:22

caesium

「そんなセキュリティで大丈夫？」「いいんです！」

2017/10/11 19:46:10

nikousatsu

対応早い！じゃなくて最優先で解決するべき致命的な問題だろ…

2017/10/11 20:37:05

abababababababa

これ、こうやって行動しないとテンプレート返信で対応したかどうか分からないって、絶望的だと思うんですが、エスカレマニュアルもついでに見直した方がよくない？

2017/10/11 21:30:59

mutinomuti

楽天とツタヤは信じてない(´･ω･`)

2017/10/11 21:48:21

nicht-sein

これ、確実に有名人が声をあげたんじゃなければ経営陣までエスカレーションされずにそのまま放置だったよね。

2017/10/12 04:15:04

Mystica_another

もしかして、電話番号さえわかれば三木◯浩史の登録住所を勝手に変えることもできる！？・・・いや、そもそも三◯谷は楽天カード作ってないか

2017/10/12 10:59:51

kamemoge

こわっ

2017/10/12 16:12:46

m_nagase

バグではなくて仕様です