けんすうさんのツイート: "楽天カードの住所が勝手に変わってた問題、電話で聞いてみたら 1:楽天IDを適当にとる 2:他人の名前、生年月日、電話番号、勤務先を入れる 3:楽天カードの発行申
2017/10/10 23:26:22
tiga
なんだそれ……
2017/10/11 03:13:58
dowhile
こわい
2017/10/11 06:29:20
kujoo
"名前、生年月日、電話番号、勤務先" で本人チェック(同一人格チェック)してる事になっていて、与信とは別にこれが通れば既存のカードの情報が更新される……??
2017/10/11 07:34:38
jumitaka
楽しそう
2017/10/11 07:58:57
reachout
だいぶあかんやつ
2017/10/11 08:28:01
nomitori
注意しようがNEEEEEEEE
2017/10/11 09:49:36
hyaknihyak
IDかぶりやすそうだし大変そう
2017/10/11 09:52:44
SndOp
詐称チェックがないのか
2017/10/11 09:53:12
nejipico
本人性って姓名、生年月日、住所だと思ってたんだけど楽天カードは違うのね。
2017/10/11 09:54:00
gesukawa
にわかには信じられないけれども…なにをキーにして同一性判定してるんだ?そして何の必要性があって住所情報を書き換えるんだ?マジで信じられないので続報を待ちたい。
2017/10/11 09:55:26
tadashi_shimizu
こんな事が起こり得るのだろうか?と素直に疑問。
2017/10/11 10:11:28
sub_low
性善説に基づいた仕様だな。ありがた迷惑な機能。
2017/10/11 10:14:20
biztaka
"「定期的にチェックしてください」というのが回答"いい加減すぎる
2017/10/11 10:14:55
miki3k
カード申し込みの時に、既存会員と同じ生年月日や電話番号があれば、既存会員が別IDで申し込んだと見なす? なんでこんな仕様を設計したんだろう。 / 氏名・住所・電話番号・生年月日は他人でも知ることができる情報。
2017/10/11 10:16:20
fishma
まぁ、楽天カードにはお似合いのシステム
2017/10/11 10:23:39
NOV1975
いまいち意味がわからんのだけど、どっちのひとのになるの?
2017/10/11 10:24:51
noemi_itoh
楽天IDとの連携をし易いようにとシステム側でいらん名寄せをして会員データ更新、カード自体は与信審査で跳ねられるがその情報は楽天側にはいかないので固定されると。見事なリモート攻撃というかただの脆弱性やん…
2017/10/11 10:28:09
katsuto_n
名寄せザルすぎてわらう
2017/10/11 10:31:16
kun_p
IDがキーじゃなくて、名前、生年月日、電話番号、勤務先のセットがキーなのか?
2017/10/11 10:33:31
kiyo560808
なんだその仕様。楽天カード持ってなくてよかった。
2017/10/11 10:35:23
airj12
なにそれこわい
2017/10/11 10:36:32
croissant2003
早速改善されるらしく素早い反応大変えらいとは思うが、楽天は糞だという評価は動かしがたい
2017/10/11 10:36:56
pre21
審査が速いカードはCIC照会まで一気に自動化して特定受取で本人性確認しているので、他社も実はある気がする。本人性確認後CIC照会にするべきだが遅くなるよねえ。
2017/10/11 10:38:14
shifumin
ゲームのバグっぽい。
2017/10/11 10:50:53
nanoha3
リプライにある不明請求調査の丸投げもやばい。カード会社の仕事だろそれw
2017/10/11 10:55:06
kuniku
金融庁案件では? あ、住所など情報まるごと書き換わるのか(ひぇー)、1年に1回使うか使わないけど、停止した方が良いかあ
2017/10/11 10:58:16
kimurahayao
高木浩光さんの反応が楽しみ。
2017/10/11 11:05:08
giyo381
楽天はお買いものパンダだけやってろ
2017/10/11 11:05:12
lastline
意味分からんと思ったら、誰かが他人の名前と勤務先入力したら、そっちにIDが置き換わるという危険仕様なのか。銀行口座の名義とか本人証明などを確認しないのかな。
2017/10/11 11:05:45
poponponpon
意図的にそういう仕様を入れないとこうはならないよね。設計者頭イカれてんのかな。
2017/10/11 11:06:41
doscoy_t
けんすうが楽天カードなんか使うわけない。流石に嘘でしょ
2017/10/11 11:08:40
wwolf
訳わからんw何でそんな事になるんだ
2017/10/11 11:15:01
Cujo
「○○分で~」って売りにしてるところはどこもヤバそう?
2017/10/11 11:18:43
tetsuya_m
ふぁっ?
2017/10/11 11:21:34
houjiT
話がもう上に伝わってるので「対応が早い」的な話に収束しつつあるらしい。……いやそれサービス開始時に既に実装されてなきゃおかしいんじゃ。長年サービスしてて今気づく時点で十分て遅れじゃ
2017/10/11 11:22:21
t_massann
このツイートがキッカケで改善されることが決まったらしい。それにしてもちょっと良くわからない。どの情報で申し込んだ人が本人だと判断しているのか?/この人が個人情報公開していたかららしいbit.ly
2017/10/11 11:23:08
petitbang
“危険な仕様なんだけど、「定期的にチェックしてください」というのが回答”あんまりな回答。
2017/10/11 11:24:53
lliilliilliill
また二段階認証必須になってしまうのか…。SMS認証は海外です仕えないので勘弁。
2017/10/11 11:30:37
honeybe
ふぁ!?
2017/10/11 11:32:36
anotokinosobaya
分からない人のために、何でこういう処理が必要なのかというと、同じ人が沢山カード発行して勝手に与信枠を広げることが出来ないようにするため。まーザルっすな。
2017/10/11 11:38:48
humid
こっちもかなり怖い“楽天カードで身に覚えのない請求があった際にカスタマーサービスに電話したら「弊社では調査でき兼ねますので、ご自身で請求元と交渉なさって下さい」などと「知らんがな対応」されました”
2017/10/11 11:41:25
maninthemiddle
制度の脆弱性だ。この手の制度脆弱性も公開していくプラットフォームが欲しいところ
2017/10/11 11:41:25
orangehalf
ID別なのに他の属性が一致していたら勝手に名寄せして既存データを上書きとか恐ろしいな。何でこんな運用設計にしたんだろう、上書きする前に既存IDのメールアドレスに確認飛ばして認証後上書きとかならまだわかるが
2017/10/11 11:42:22
gazi4
ポイント民が情報もってそう
2017/10/11 11:44:30
bigburn
“「定期的にチェックしてください」というのが回答”変更しましたメールも送ってこないのか…
2017/10/11 11:45:23
makou
ザル仕様だ。
2017/10/11 11:51:10
qwerton
さすが楽天。詐欺が捗るな!
2017/10/11 11:56:59
sny22015
助けて、楽天カードマン!
2017/10/11 11:57:26
hedachi
糞すぎる
2017/10/11 11:57:27
kurukurucure
やべえなこれ。楽天側としては「名前」「生年月日」「電話番号」が合うはずがない、っていう魂胆なんだろうけど、実際に書き換わってるんだから実はどれか合わなくても大丈夫なのでは?
2017/10/11 11:58:36
mustdelay
なにげに超怖い話じゃない?
2017/10/11 12:00:12
lacucaracha
けんすうは誰にこれをやられたのかが気になる
2017/10/11 12:01:17
enemyoffreedom
脆弱性と呼ぶのもはばかられるほどのザルじゃねーか / 普通こういう強引な名寄せをする時は人力での入念な事前チェックが不可欠だろうが、そういうのにリソース割いていなさそう
2017/10/11 12:01:46
summoned
クズが利用できる情報公開しただけじゃん……炎上させて改善させるつもりだろうけどさっさと炎上してくれないと危険が危ないだけだぞ
2017/10/11 12:09:12
white_rose
どういうこと??
2017/10/11 12:10:34
sora-papa
過剰適用という最悪の名寄せ仕様。(´・ω・`)
2017/10/11 12:11:42
igrep
以前見た楽天カードのCMではカードの受け取り時に身分証提示していたように見えたけど、実際にはその認証ができてないのかな。。。
2017/10/11 12:15:57
purereine-kuchikomi
なにこれ楽天カードで悪さする人出そう。しっかりセキュリティしてくれないと怖くて使えない!
2017/10/11 12:16:01
hiby
クソ笑った
2017/10/11 12:17:40
mats3003
さすが楽天としかいいようがない仕様だなあ。
2017/10/11 12:20:01
itotto
どういう発想をすればこんな設計になるんだろう。悪意をもってそうしたと考えないと無理なレベル。
2017/10/11 12:21:37
nabe1121sir
ミキダニに近づいてはならない。
2017/10/11 12:21:54
yazuka08
ちょっと最初何言ってるのかわからなかった。どういう実装やねん。
2017/10/11 12:23:35
ryuukakusan
どうしろと
2017/10/11 12:25:16
slkby
ええ…
2017/10/11 12:25:25
kaitoster
楽天カードって昔から、ある日突然カード会社から使用停止にさせられることがあるからメインカードとして使っちゃダメなクレカって言われてたよなあ・・・。
2017/10/11 12:25:33
tanakakazu
俺も楽天カードだけど、企業の経営者(?)みたいな人でも楽天カードなんだ。
2017/10/11 12:28:39
tkomy
詐欺の手口が複雑化してるのにシステムをシンプルにしてどうする
2017/10/11 12:29:23
r_riv
これ、会社の同僚とかならたいした労力もなく知り得る情報で出来るし、すげぇお手軽にやれてしまうな。こわいこわい
2017/10/11 12:33:42
rub73
楽天だけじゃなさそう。
2017/10/11 12:34:34
alovesun
ガード不能なのかよ…普通にカード会社というか個人情報管理する業者としてもありえねぇ…
2017/10/11 12:34:54
atsushimissingl
まじか詫び石出ないかな
2017/10/11 12:36:30
lady_joker
対策は簡単で、使わないというのが良い気がした
2017/10/11 12:42:53
kibarashi9
なるほど。関わったら負けのやつだ。
2017/10/11 12:47:55
ntstn
楽天でコレなら即発行系のカードローンとかもっとやばそう。使わないが吉。
2017/10/11 12:48:54
ayu118
楽天とはかかわらないのが一番
2017/10/11 12:49:22
bkios
普通にこれ脆弱性だろ。何か利用者に不利益が発生して裁判になったら確実に楽天が負ける。リスク管理できてなすぎわろた
2017/10/11 12:53:18
ka2hik0
対応早いっすね
2017/10/11 12:54:59
take-it
生年月日は変えられない個人情報だから、SNSで公開すんなって広めたい。
2017/10/11 12:56:27
aoi_tomoyuki
使わないぐらいしか対策ないな
2017/10/11 12:56:40
reijikan
よく今まで発覚しませんでしたね
2017/10/11 12:56:50
buu
こういうのは晒しちゃうのが一番。今頃大至急対応の指示が出ていると思うよ。
2017/10/11 12:58:45
imakimam
楽天カード持つやつは情弱って言われてなかった?
2017/10/11 12:59:55
hryshtk
名前、生年月日、電話番号、勤務先をすべて秘密にしよう。なんか工作員みたいで人生楽しくなりそう。
2017/10/11 13:00:17
Harnoncourt
楽天カードなんか使うからそういう目に遭う。
2017/10/11 13:02:07
xevra
さすが楽天。近づいたら負けだ。amazonに対抗する国産勢力が欲しいんだが楽天だけには任せられない。絶対君臨天皇ミッキーの恐るべき帝国楽天には滅んでもらうしかない。
2017/10/11 13:04:12
monday23
「改善されるらしい、対応速い!」って言っても、マイナスが普通になるだけだぞ。
2017/10/11 13:04:14
weep
何を今さら。イーバンク銀行の時からイクナイバンク銀行だったろ。
2017/10/11 13:04:48
nimroder
英語で入れとけばいいんじゃね。楽天様の公用語だし
2017/10/11 13:05:31
konnie
もう対応して改善されることが決定したようだけど、最初の対応ナニ??「定期的にチェックしてください」って、この程度の意識で金融取り扱っていいんだろうか疑問に思う。
2017/10/11 13:08:09
Panthera_uncia
情弱御用達カードが赤の他人にも迷惑を!
2017/10/11 13:13:09
jun_cham
こわっ
2017/10/11 13:17:08
roller_skate
斜め上の脆弱性だ……
2017/10/11 13:19:53
richest21
某アフィブロガー『楽天カードは顧客満足度No.1です!』
2017/10/11 13:22:53
boyasan
まじなら怖すぎるが
2017/10/11 13:28:15
keijir
セキュリティホールは技術じゃない所から。運用系にこそエンジニア入れてスキーム変えれるようにするべき
2017/10/11 13:28:49
watatane
さすが審査の緩さに定評のある楽天カード
2017/10/11 13:29:48
ninosan
これ見てると楽天ポイントカードがログアウトできないのもただの手抜きっぽいな(アプリ消せば済むだけなので、まったくセキュリティ対策になってない)
2017/10/11 13:30:56
Falky
これは落石注意より注意不可能
2017/10/11 13:34:02
unagiga
楽天のサービスはみんな質が悪いな。社内で英語で話すよりもっと注力すべき事があるんじゃないか
2017/10/11 13:36:04
shgojsergi
すぐにのっとられるセキュリティも怖い
2017/10/11 13:36:39
cheep-int
即対応するらしいけど、本当に速攻で対応しないと解約するだろこれ、、
2017/10/11 13:37:50
mobits
はよ潰れて?
2017/10/11 13:41:59
KariumNitrate
楽天カード怖い。これは拡散して大騒ぎにしないと(義憤義憤)。▼既に対策済みらしい。
2017/10/11 13:42:08
tettekete37564
誰か解説してくれ。オリジナルのクレカとの紐付けポイントが分からん
2017/10/11 13:42:16
Laylack
即即即対応やってよ。
2017/10/11 13:43:38
frontline
えーっ?でも毎月の請求額をいちいちログインしなくても通知メール本文に書いてくれる便利なカードは楽天だけなんだよぅ……(いやまじほんとに個人的にはこれ便利だと思ってる。別にメール漏洩しても金額だけだし)
2017/10/11 13:44:43
smken
対応の早さを讃えるコメがあって不思議なんですけど、そもそも金融機関としてありえへん処理してるのを直すだけだよ?失火したやつが消火してんの見て褒めるの??
2017/10/11 13:45:04
key_llow
動脈にドデカい穴が空いとるのに対応に遅いも早いもあるかい。
2017/10/11 13:45:46
surfacid
川平慈英いいかげんにしろ
2017/10/11 13:46:22
miraishonen99
こわ
2017/10/11 13:49:21
TakahashiMasaki
楽天のカードなどをつかうほうが悪い
2017/10/11 13:49:28
a-nama-special
あかん。。
2017/10/11 13:50:22
sekreto
今までもこれからもできる限り楽天とは関わらずに生きていこうと改めて思いました。
2017/10/11 13:54:32
neo_Neutral
セキュリティ事案で「障害等発生報告書」(金融庁 様式4-45)の準備か、担当部門は地獄絵図だな。/名寄せ処理は良いと思うが、本人確認しないで登録情報書き換えてるのが事案だわ。
2017/10/11 13:57:42
quality1
「信用がある」「発信力がある」人が言っているので迅速な対応となる。
2017/10/11 14:01:54
otihateten3510
やばい、どういうことなのか理解できない。やばい。 主語が無いからか? ブコメで少しだけ理解できた
2017/10/11 14:03:08
kaipu1224
こんな設計で良く通ったなぁ
2017/10/11 14:06:32
raitu
Wow
2017/10/11 14:07:33
crapman
おそらく名前と生年月日と電話番号の3つを複合主キーにしてたんだろうな
2017/10/11 14:09:40
iuhya
楽天カード、今までこの仕様だったってことだろ……。ヤバすぎるだろ……。
2017/10/11 14:14:35
hatehateyahoo
楽天つかわなくなったから、カードも解約しておこう。
2017/10/11 14:22:38
neji_shiki
こんな仕様だからポンポン発行されんのか。そら審査に落ちるのがまれですわ。
2017/10/11 14:26:50
Futaro99
世の中の名寄せって言われる仕様はだいたいひどい
2017/10/11 14:30:20
oobatomoyama
けんすうさんのとぼけっぷり。へーそーなんだーのスタンスが嘘くさい(笑)
2017/10/11 14:34:52
sds-page
名寄せして住所書き換えなくても似たような個人情報で登録できないようにするだけでいいだろ
2017/10/11 14:38:27
nora-inuo
楽天カードは使わない方が賢明!?ポイントが貯まるのが魅力なのだが..
2017/10/11 14:38:57
hisomura
止めて良かった楽天カード。
2017/10/11 14:42:36
htnmiki
マイナンバー使えば一意に紐付けできるだろ(すっとぼけ)
2017/10/11 14:44:21
cwmoz22
え!!!!!楽天やめる以外に対策のしようがないじゃん!
2017/10/11 14:50:17
marsrepublic
これ、楽天カードだけじゃないと思うよ。別の会社で本人確認大丈夫か?っていう状態で自動的に大昔作ったカードが名寄せされててびびったことある。これ、なりすましできちゃうんじゃないの?って思った。
2017/10/11 14:55:10
snipesnaps
これ楽天の対応の速さを美談だと捉える人がいるけど、インターネッツ有名人だと素早い対応しただけで、一般人だとうやむやにされたりとかどうなってたかわからないから、楽天カードに対して不信感だけが残る。
2017/10/11 14:57:46
miquniqu
この名寄せの仕方で思い出したんだけど、このまえZoffでメガネ作ったときに「名前、生年月日、郵便番号」で身分証なく前回作ったデータを再利用出来たんだよね。便利は便利だけどわりと危ない。
2017/10/11 15:00:36
chibikujira
No way ;(
2017/10/11 15:13:26
nonsect
クレカブラックのワイ、低みの見物。
2017/10/11 15:18:41
seiroten
対応早いのは拡散されて騒ぎになったからであって、そもそも「おかしいよね」と社内でならない楽天がおかしいし、だから楽天系列は一切使わないと決めている。
2017/10/11 15:21:49
unijam
"与信でとまるんですけど、住所は申請時のにアップデートされちゃうぽいんですよね。"
2017/10/11 15:27:30
hirata_yasuyuki
どこも名寄せ自体はやっているけど、そのやり方が不味いやつ。 / id:frontline 三井住友カードの場合は、Web明細にすると金額付でお知らせメール送信してくれます。
2017/10/11 15:28:38
pollyanna
誰かがけんすうさんの名前、生年月日、電話番号、勤務先を使って勝手にカードの申し込みをしたってこと? それがそもそも怖くないかい?
2017/10/11 15:37:10
wow64
カード申し込んでない平会員のほうが弱いってことかね。名寄せされちゃうのはおかしいような気もするがカードを重複発行しないためとかなのか
2017/10/11 15:46:05
fukken
脆弱性だ
2017/10/11 15:51:12
Lat
対策が取られるまで注意喚起のCMに切り替えろよ。っていっても注意しようがないのだが。/せめて楽天カードの解約手続きはWebから行えるようにするとかしないと。電話が繋がらないから解約できないとか昭和かよ。
2017/10/11 16:09:09
nuitmer11
楽天カードがやばいなら、どのカードなら安全なんだろうか
2017/10/11 16:10:10
aceraceae
確認したら大丈夫だったけどこれはひどいな。
2017/10/11 16:11:49
thnn
楽天カードマンも、存在自体がカード規約破ってる時点でアウトだから。(カードを複数枚もってはならない規約)
2017/10/11 16:16:21
ryokujya
これって更新のタイミングで仕掛けられたらカードそっちの住所に送られるってことだよね。やばくね
2017/10/11 16:20:51
clp5884
なんだこれ、楽天カード使えねぇじゃねーか
2017/10/11 16:24:08
zapperd
リプを見て理解した。こんな糞仕様今まで放置してたのかよ
2017/10/11 16:37:24
pintinho
VISA枠で残してたけど解約して新しいの作ろうかな
2017/10/11 16:41:49
tohokuaiki
“その住所に自動的に”の「その」が何を示すかわからないから何が問題なのか全然理解できない。
2017/10/11 16:46:03
haniwa75
発信力ある人のツイートでなければここまで迅速に対応したかどうか。
2017/10/11 16:52:37
sisya
動きが早いことが評価されているが、ここまで致命的なバグが発見されたのだから、迅速に行動できないほうがまずいと思う。むしろ外部に発見されている状態のほうがまずいと考える。
2017/10/11 17:02:37
nt46
さすが俺でも作れたカード。
2017/10/11 17:06:20
osknabe
これは大変危険。対応はされると信じたいが、まずは自分の楽天IDの情報を確認しよう
2017/10/11 17:07:56
peppers_white
個人情報だだ漏れの時代だと防ぐ手立てなさそう
2017/10/11 17:24:29
pmint
情報が錯綜してて楽天カード利用者だったらイライラするレベル。運営会社の方が大変だわ。電話で聞いた通りに書いてないんだろうな。
2017/10/11 17:24:36
mashori
こわっ。雑に他人の身分作れそう
2017/10/11 18:00:42
Yagokoro
ザル過ぎ!!
2017/10/11 18:02:51
fatmonger
楽天(とヤフー)には関わらない。でアカウント消して正解だった。
2017/10/11 18:05:11
jtw
ちなみに楽天IDとるときにメールアドレス認証されないので赤の他人に責任をなすりつけることが可能な仕様。
2017/10/11 18:07:02
uza_momo
対策した!具体的プランはこれから! 何かどこかで見たような…
2017/10/11 18:24:22
shimokiyo
さすがネットの有名人が火をつけただけあって、楽天側も動きが早いな。
2017/10/11 18:29:03
toppogg
酷すぎる
2017/10/11 19:02:06
fujifuji1
楽天が企業として嫌いなのでもちろんカードは作ってないし、極力利用しないような努力してる。努力が報われたわ。
2017/10/11 19:12:13
mtane0412
対応するらしい
2017/10/11 19:25:22
caesium
「そんなセキュリティで大丈夫?」「いいんです!」
2017/10/11 19:46:10
nikousatsu
対応早い!じゃなくて最優先で解決するべき致命的な問題だろ…
2017/10/11 20:37:05
abababababababa
これ、こうやって行動しないとテンプレート返信で対応したかどうか分からないって、絶望的だと思うんですが、エスカレマニュアルもついでに見直した方がよくない?
2017/10/11 21:30:59
mutinomuti
楽天とツタヤは信じてない(´・ω・`)
2017/10/11 21:48:21
nicht-sein
これ、確実に有名人が声をあげたんじゃなければ経営陣までエスカレーションされずにそのまま放置だったよね。
2017/10/12 04:15:04
Mystica_another
もしかして、電話番号さえわかれば三木◯浩史の登録住所を勝手に変えることもできる!?・・・いや、そもそも三◯谷は楽天カード作ってないか
2017/10/12 10:59:51
kamemoge
こわっ
2017/10/12 16:12:46
m_nagase
バグではなくて仕様です