端末移行じゃなくてアカウント連携で<del>オート</del>チャージ権限まで取れるのか… / 「オート」ではなかった。UI的には手動だけど連携先のサービスから認証なしでチャージかけられると。
これは設計よくないなぁ…しかしよくこんな窃盗手段思いつくわ
利便性を優先するから確認画面を出ないようにしてください!サイト側で注意するので大丈夫です!って言って通したんだろうな。もちろんサイト側には何も言ってない
WINTICKET、安心のサイバーエージェントグループって https://www.winticket.jp
元記事の2つのQRコードはなんなんだろうって思ったがWINTICKETのアカウント連携のQRコードだったのか しかし悪い事する人はよー見つけてくるなこんなの
チャージまで連携先に許す設計に消費者からいかに金を毟り取るかしか考えていない設計者の意図が読み取れる。
オチがひどい
素晴らしい検証。簡単すぎてクソわろたがフィッシングサイトはWINTICKETの画面をiframeで埋め込んでる?(今時通用するのかそんなん、流石にないやろ…?)よく見れば「アカウントの連携を~」と下に書いてはいるやね
お金に直結するアカウント連携がQRのみで完了するでワンアウト。連携すると連携先でチャージできるのでツーアウト。iframeでの読み込みが可能なのでスリーアウト。お金に関するサービスとしてセキュリティ意識低すぎ。
おお、これっぽい。アカウント移行ではなくアカウント連携か。しかし詐欺師はありとあらゆる手口を思いついてすごいな…。
コレは確かにUXがよろしくないな/↓オートチャージじゃなくて手動チャージ連打かと
最近携帯の機種交換してPayPayの移行ラクだったので、今のままでいいと思うぞ。元記事で問題だったのはフィッシングメールに簡単にひっかかったことと、自分の使用履歴をアプリで確認しなかったこと。
これ見つけたときの犯人めちゃくちゃ気分アガっただろうな……こないだオートチャージで銀行からPayPayに引落があったけどその設定した記憶がなくてビビった。便利だからって案内されるまま設定したんだろうな……
PayPayアプリ側からチャージするという設計だったらよかったのかな?もちろん連携しようとしてる確認画面でもいいと思うけど
記事中のQRコードが細い線で赤いバツ印つけてるだけなので、余裕でURL復元できるな。そりゃ、この記事読んだ運営は即BANできるわ。
こわ
あれまぁ。
WINTICKET連携か。なるほどねー。WINTICKETの本人確認は他人の銀行口座を買っていればスキップできる、と。公営競技のチャージ、結構簡単にできるようになっていて怖いんだよね
元記事で何が起きてるか分からなくて困惑していたが、すっきりした。と共に、PayPay側の認証がさすがにザルだと感じるので改善案件だな。PC側でも何か出てくれないとこれはキツい。
オートチャージ設定の有無に関係なく口座から引っ張れたんだ、なるほど
そういうことだったのか…これで何十万円も取られたらたまったもんじゃないな
「記事を公開した直後、垢BANされてました」これはひどい。検証お疲れ様です。しようかと思ったが面倒でしなかったわ。周辺情報からは差分だけチャージする仕様かと思ったらチャージ金額の指定までできたのか…
検証してくれたのに垢BANされるのかわいそうすぎる
外部からチャージ操作を行う仕組みがPayPay側にあるのね。連携時に利用者はアプリを開いてるわけなんだから、警告とか権限の情報とか出せそうなもんだが
よくこんなん見つけるなぁ
とりあえず銀行連携は外した
時限のQRコードだからまだいいけどもうちょっとQRコード隠さないと読み取れちゃいますよ
連携先でチャージが出来るのは流石に設計として問題だろう。
検証ありがとう\(^o^)/わいも銀行連携外しました
手口が巧妙に見えるけど、すぐに足突かない?被害者もすぐ通報してるし、使われたwinticketもすぐわかって、登録口座まで即特定されるでしょ…
どのへんで垢バンされる行為として引っかかったんだろ。検証とは言ってるけど連携してチャージしただけに見えるが。
とはいえすぐに足はつくんじゃないのかなぁ…使い捨ての口座なんかがあれば別だろうが、そんなん簡単に手に入るんだろうか…
日本狙われすぎてるだろ。
Evilginxとか中間者攻撃型のフィッシングツールが色々あるから今回のような攻撃も比較的容易に出来ちゃいますよね
元記事は連携画面の上部にある「株式会社WinTicket」をトリミングしているの中々に恣意的じゃない?「連携先のサービスやお店の名前を確認し〜」とあるんだからこれで気付かない方にも責任はありそう
変なSMSやメールを開く以外にも、自分から偽通販サイトにアクセスして支払いにPayPay読ませるパターンもある。結構引っかかった人多そう。
検証してくれたのに垢BANとは
PayPayやばい
「あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです」「「WINTICKETへ連携しますか」と聞くだけでかなりの確率で止められたと思います。その意味でPayPayのUIがかなり悪いと思います」
PayPayもクソだが連携側のUI構造も悪いんじゃなかろうか…? WINTICKETから無事に返金してもらえることを祈ります。
連携しただけで、連携先のサービスからチャージできる?クソみたいな仕様。誰がこんなの考えたわけ。まともな頭があればこんなことできない。止める人もいなかったの怖すぎる
名義不一致でも連携できるんであればドコモ口座事件を彷彿とさせるな。/すぐ足がつくと言っている人、そのとおりなんだけど、閉鎖させる前に出し子が出金できれば勝ちなんやで
WINTICKET普通に使ってます。しばらく前から連携により ♪ペイペイッと鳴らさずにPayPay残高からWINTICKTへチャージできるようになってたんだけど、PayPay残高まで銀行からチャージできるリスクがあるとは知らなかった…
元ポストについて「フィッシングメールに騙されたのが悪い」的なコメントが複数ついてたけど、お店でアルコールの入った状態でうまく誘導されるケースとかもあり得るんだよな、決済アプリなんで。設計がガバすぎる…
救いはPayPayは不正被害は保証すると言ってくれてる所
連携用の画面を加工して表示してるって、つまりiframe埋め込みを許可してるってこと…?//いや、なんかおかしいな。元記事だとQR読んでもPC側・アプリ側いずれも何の変化もなかったと書いてある。検証結果と違うよね
設計なのか意図的なのか
垢BANされたの、PayPay運営には余程都合の悪い話だったんだろうなぁと容易に予想がつく
個人的にはメールのリンクは認証タイミング以外踏まないように徹底してるのでサービスの認証にアクセスしたタイミングで偽サイトのフィッシングメールが来るという奇跡的なタイミング以外は防げるようにしてる。
今日び AI にユーザビリティテスト、モンキーテスト、セキュリティテストさせてれば拾えてたのでは。ひたすらくっそダサい。セブンペイと同列に日本の IT 業界のブランドを落とした事案だと思う。
“残高が不足している場合、「チャージして支払う」として、銀行口座を選択することができます。 これはオートチャージではないので、オートチャージ設定がOFFでも「チャージして支払う」は有効” おかしいやろ
「WINTICKETへ連携しますか」いや、これだけだとまだ足りないね。「WINTICKET(競馬用のなんちゃら)へ連携しますか」みたいな一言も欲しい。
なんかよくわからないけど限度額の設定だけした
別サービスのアカウントとQRコードだけで連携できてしまうPayPayの仕組みがヤバい。連携の最終確認をPayPayアプリの通知で出すだけでも防げるんじゃないか?
PayPayさん、WINTICKETさんと仲良くするのは良いけど、ボクたちのお金を守ってにゃ!QRコード2回でチャージはダメにゃ!UIもっと分かりやすくしてにゃ!上限設定大事にゃ。猫パンチしちゃうぞ
連携済のWINTICKETからチャージ操作が出来てしまうって事か。QRコードを読むだけで連携出来るのザルやな。paypay側、WINTICKET側で気付く人誰もおらんかったんか。
こえーこえー(PayPay入れてない勢)。|ていうか、QR決済にPCのブラウザを経由したことがないから、余計にこえーこえー。
なるほどiframeで読める。。。
サイバーエージェントはフィシング詐欺に加担しているネット企業だなhttps://www.cyberagent.co.jp/corporate/overview/winticket/
ザルなのも問題だけど、組織的にフィッシングしている犯罪者が攻撃手段を試行錯誤し続けているのがこわすぎる
総務省仕事して
ブラウザでいうところのCSRF的な攻撃かぁ。この画面を操作している人と、リクエストを実行しているが同じかどうかを技術的に検証できてないのね
今ごろ犯人はペイペイペイペペイペイと小躍りしていることだろう
熱帯夜にふさわしい怪談だわね…。paypay信用できないし、明細しっかり確認した方がよさそうね。
QRコード読むだけでこうなってしまうのは割とまずい。
20年ばかり前はまだ「A:詐欺のプロ」と「B:IT係のプロ」が完全に別の存在だから逆援助交際・出張ホスト詐欺スパムなんて馬鹿な物が大流行したが、いずれAとBの融合が予見されてた記憶。それが実現した結果が今のこれ
例のpaypayフィッシングの件、検証記事。確かにこれは簡単に悪用できるな。今頃、同じような穴があいてるサービスないか探し回ってるやつらがいるのだろうなあ。
「スマホの操作がQRコード2連続スキャンのみ」「WINTICKETとPayPayと名義相違していもチェックがない」「垢BANされてました」「お金返してください・・・」「19時頃にはWINTICKETとPayPay連携機能が停止されていました」
前から重要事項について確認がなさ過ぎると思ってたが。金融庁とかの管轄ではないのかな、コード決済は。
あほやろと思ったけどさすがにこれはセキュリティがザルすぎるな
元記事で「端末移行で〜」とかドヤ顔してるデマコメにスター付きまくってるの、本当にブクマカは自分で何も考えてないなとよくわかる。早々にwinticket連携の問題って書いたのに誰も見やしねえ。
あんだけ端末移行前提でブコメ盛り上がってたのに端末移行ちゃうんかいww
良くこんなシステムが流行ったなあ。
これPayPayのフィッシングも危ないけど、普通に競輪してる人もWINTICKET乗っ取られたら200万円引っ張られちゃう可能性あるんだよな。競輪サイトのログインなんて銀行や証券会社ほど慎重にやる人少ないでしょう。
金を使わせたかったんだろうけど、チャージ権限まで連携先に渡すの酷すぎる。どんな権限渡すのか表示することさえしていないし。
“私自身は正規の利用しかしてないですが、履歴上不審と判断されたようです。大丈夫だとは思いますが、お金返してください・・・。”これは返してあげて…
pepepe▶▶▶≫
検証助かります。やっぱりこれだった。『WINTICKETにて残高チャージ』『銀行口座を選択することができ』『オートチャージ設定がOFFでも「チャージして支払う」は有効』ぎゃー。
もう有効期限切れてるからいいんだけどQRはそんなに細いバッテンじゃ無効化できないよ エラー訂正で十分に読み取れる
WINTICKETとPayPay連携なんてやったことある人はそこそこの数がいそうだし、「これ悪用されるとまずいな」って思ってた人もそこそこの数いそう
思った以上に雑だった なるほどなー
“適当に硬いレースに投票し、1.0倍に近いオッズで払戻金を受け取る” これ競輪でポイント現金化とかで用いられるよなー
手間が増えると離脱率が上がるからと安直に考えた結果なんだろうけど、それは必要な手間なんだと思う
なるほどー…
ブコメは後で間違いが発覚してもスターを消せないのが弱点。ブクマ主が気づいて追記すればいいのだけど。サイバーAとpaypayが協力して補填すべきよね。
褒めるところじゃない。マネロンされとるやんけという。WINTICKETを使っての被害かなり出とる。/クレカの先例あるんだからちゃんと真似てほしい。本人が確認出来ないと駄目(本人確認はちと意味が変わる)
恐ろしい…QR決済滅んでどうぞ。
PayPayに飛ばして入金してから戻ってきてチケットを買う操作をするのは面倒なので、一つのアプリ内で完結させて購買意欲を高く保ちたいのはわかるが、ならば連携を同一スマホに限るなど厳格にするべきではなかったか。
QRの制限時間ってどうやって抜けたんだろう。なんかもっとやばい構造的欠陥がありそう
"<del>オート</del>チャージ権限まで取れるのか" チャージ操作するのは支払者だから権限委譲してるわけじゃないだろ。サイトもpaypayや。そこは普通の使い方と何も変わらん
ありゃー、検証結果…。
なんか怖そうと思いPayPayには手を出さなかった還暦。マイナカード作成のキックバックがPayPayだったらしいけど、それすら分からない…w
認証と認可の設計がグチャグチャ。QRコードの読み込みだけで資金移動できる仕様ってちょっと常識では考えられない。生成AI に設計させたほうがマシなのでは?
垢banは正しい。確認する余裕ないから一括で止めたんだと思うよ。筆者も書いてる通り精査して返金されるかと
中の人が反社と組んでわざと作ったんじゃないかと邪推できるレベル
Xにしろ、FaceBookにしろ、メルカリにしろ、犯罪者に使いやすいサービスを作ったもん勝ち。
ナスダック上場に響きそう
「オーソライズ操作」から「連携先の意味と目的」が切り離されているとき、悪意ある仲介者は“合法な操作を組み合わせる”だけで搾取が可能になる。
検証助かる
クレジットカードだと詐欺にあっても保証があると思うけどPayPayは保証してくれんだろな…
いろいろ設計にも思うところはあるけど、1番悪いのは犯人なので逮捕されることを願います。
paypay擁護じゃないが、この人が検証してるかどうかはシステム的には判断出来ないからBANは仕方がないかと(異議申し立てで金取り返せればいいけどもね)。軽快に使えるからこそセキュリティ弱いんだろうな
“払戻金は現金化が可能で、こちらはWINTICKETアカウント(本人確認済)と名義が一致している口座を登録することで振り込みが行われるようです。”
客層がなぁ
垢BANされたのはPayPayじゃなくてWINTICKETの方でしょ?
PayPayのフィッシングが簡単すぎた話|j416dy
端末移行じゃなくてアカウント連携で<del>オート</del>チャージ権限まで取れるのか… / 「オート」ではなかった。UI的には手動だけど連携先のサービスから認証なしでチャージかけられると。
これは設計よくないなぁ…しかしよくこんな窃盗手段思いつくわ
利便性を優先するから確認画面を出ないようにしてください!サイト側で注意するので大丈夫です!って言って通したんだろうな。もちろんサイト側には何も言ってない
WINTICKET、安心のサイバーエージェントグループって https://www.winticket.jp
元記事の2つのQRコードはなんなんだろうって思ったがWINTICKETのアカウント連携のQRコードだったのか しかし悪い事する人はよー見つけてくるなこんなの
チャージまで連携先に許す設計に消費者からいかに金を毟り取るかしか考えていない設計者の意図が読み取れる。
オチがひどい
素晴らしい検証。簡単すぎてクソわろたがフィッシングサイトはWINTICKETの画面をiframeで埋め込んでる?(今時通用するのかそんなん、流石にないやろ…?)よく見れば「アカウントの連携を~」と下に書いてはいるやね
お金に直結するアカウント連携がQRのみで完了するでワンアウト。連携すると連携先でチャージできるのでツーアウト。iframeでの読み込みが可能なのでスリーアウト。お金に関するサービスとしてセキュリティ意識低すぎ。
おお、これっぽい。アカウント移行ではなくアカウント連携か。しかし詐欺師はありとあらゆる手口を思いついてすごいな…。
コレは確かにUXがよろしくないな/↓オートチャージじゃなくて手動チャージ連打かと
最近携帯の機種交換してPayPayの移行ラクだったので、今のままでいいと思うぞ。元記事で問題だったのはフィッシングメールに簡単にひっかかったことと、自分の使用履歴をアプリで確認しなかったこと。
これ見つけたときの犯人めちゃくちゃ気分アガっただろうな……こないだオートチャージで銀行からPayPayに引落があったけどその設定した記憶がなくてビビった。便利だからって案内されるまま設定したんだろうな……
PayPayアプリ側からチャージするという設計だったらよかったのかな?もちろん連携しようとしてる確認画面でもいいと思うけど
記事中のQRコードが細い線で赤いバツ印つけてるだけなので、余裕でURL復元できるな。そりゃ、この記事読んだ運営は即BANできるわ。
こわ
あれまぁ。
WINTICKET連携か。なるほどねー。WINTICKETの本人確認は他人の銀行口座を買っていればスキップできる、と。公営競技のチャージ、結構簡単にできるようになっていて怖いんだよね
元記事で何が起きてるか分からなくて困惑していたが、すっきりした。と共に、PayPay側の認証がさすがにザルだと感じるので改善案件だな。PC側でも何か出てくれないとこれはキツい。
オートチャージ設定の有無に関係なく口座から引っ張れたんだ、なるほど
そういうことだったのか…これで何十万円も取られたらたまったもんじゃないな
「記事を公開した直後、垢BANされてました」これはひどい。検証お疲れ様です。しようかと思ったが面倒でしなかったわ。周辺情報からは差分だけチャージする仕様かと思ったらチャージ金額の指定までできたのか…
検証してくれたのに垢BANされるのかわいそうすぎる
外部からチャージ操作を行う仕組みがPayPay側にあるのね。連携時に利用者はアプリを開いてるわけなんだから、警告とか権限の情報とか出せそうなもんだが
よくこんなん見つけるなぁ
とりあえず銀行連携は外した
時限のQRコードだからまだいいけどもうちょっとQRコード隠さないと読み取れちゃいますよ
連携先でチャージが出来るのは流石に設計として問題だろう。
検証ありがとう\(^o^)/わいも銀行連携外しました
手口が巧妙に見えるけど、すぐに足突かない?被害者もすぐ通報してるし、使われたwinticketもすぐわかって、登録口座まで即特定されるでしょ…
どのへんで垢バンされる行為として引っかかったんだろ。検証とは言ってるけど連携してチャージしただけに見えるが。
とはいえすぐに足はつくんじゃないのかなぁ…使い捨ての口座なんかがあれば別だろうが、そんなん簡単に手に入るんだろうか…
日本狙われすぎてるだろ。
Evilginxとか中間者攻撃型のフィッシングツールが色々あるから今回のような攻撃も比較的容易に出来ちゃいますよね
元記事は連携画面の上部にある「株式会社WinTicket」をトリミングしているの中々に恣意的じゃない?「連携先のサービスやお店の名前を確認し〜」とあるんだからこれで気付かない方にも責任はありそう
変なSMSやメールを開く以外にも、自分から偽通販サイトにアクセスして支払いにPayPay読ませるパターンもある。結構引っかかった人多そう。
検証してくれたのに垢BANとは
PayPayやばい
「あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです」「「WINTICKETへ連携しますか」と聞くだけでかなりの確率で止められたと思います。その意味でPayPayのUIがかなり悪いと思います」
PayPayもクソだが連携側のUI構造も悪いんじゃなかろうか…? WINTICKETから無事に返金してもらえることを祈ります。
連携しただけで、連携先のサービスからチャージできる?クソみたいな仕様。誰がこんなの考えたわけ。まともな頭があればこんなことできない。止める人もいなかったの怖すぎる
名義不一致でも連携できるんであればドコモ口座事件を彷彿とさせるな。/すぐ足がつくと言っている人、そのとおりなんだけど、閉鎖させる前に出し子が出金できれば勝ちなんやで
WINTICKET普通に使ってます。しばらく前から連携により ♪ペイペイッと鳴らさずにPayPay残高からWINTICKTへチャージできるようになってたんだけど、PayPay残高まで銀行からチャージできるリスクがあるとは知らなかった…
元ポストについて「フィッシングメールに騙されたのが悪い」的なコメントが複数ついてたけど、お店でアルコールの入った状態でうまく誘導されるケースとかもあり得るんだよな、決済アプリなんで。設計がガバすぎる…
救いはPayPayは不正被害は保証すると言ってくれてる所
連携用の画面を加工して表示してるって、つまりiframe埋め込みを許可してるってこと…?//いや、なんかおかしいな。元記事だとQR読んでもPC側・アプリ側いずれも何の変化もなかったと書いてある。検証結果と違うよね
設計なのか意図的なのか
垢BANされたの、PayPay運営には余程都合の悪い話だったんだろうなぁと容易に予想がつく
個人的にはメールのリンクは認証タイミング以外踏まないように徹底してるのでサービスの認証にアクセスしたタイミングで偽サイトのフィッシングメールが来るという奇跡的なタイミング以外は防げるようにしてる。
今日び AI にユーザビリティテスト、モンキーテスト、セキュリティテストさせてれば拾えてたのでは。ひたすらくっそダサい。セブンペイと同列に日本の IT 業界のブランドを落とした事案だと思う。
“残高が不足している場合、「チャージして支払う」として、銀行口座を選択することができます。 これはオートチャージではないので、オートチャージ設定がOFFでも「チャージして支払う」は有効” おかしいやろ
「WINTICKETへ連携しますか」いや、これだけだとまだ足りないね。「WINTICKET(競馬用のなんちゃら)へ連携しますか」みたいな一言も欲しい。
なんかよくわからないけど限度額の設定だけした
別サービスのアカウントとQRコードだけで連携できてしまうPayPayの仕組みがヤバい。連携の最終確認をPayPayアプリの通知で出すだけでも防げるんじゃないか?
PayPayさん、WINTICKETさんと仲良くするのは良いけど、ボクたちのお金を守ってにゃ!QRコード2回でチャージはダメにゃ!UIもっと分かりやすくしてにゃ!上限設定大事にゃ。猫パンチしちゃうぞ
連携済のWINTICKETからチャージ操作が出来てしまうって事か。QRコードを読むだけで連携出来るのザルやな。paypay側、WINTICKET側で気付く人誰もおらんかったんか。
こえーこえー(PayPay入れてない勢)。|ていうか、QR決済にPCのブラウザを経由したことがないから、余計にこえーこえー。
なるほどiframeで読める。。。
サイバーエージェントはフィシング詐欺に加担しているネット企業だなhttps://www.cyberagent.co.jp/corporate/overview/winticket/
ザルなのも問題だけど、組織的にフィッシングしている犯罪者が攻撃手段を試行錯誤し続けているのがこわすぎる
総務省仕事して
ブラウザでいうところのCSRF的な攻撃かぁ。この画面を操作している人と、リクエストを実行しているが同じかどうかを技術的に検証できてないのね
今ごろ犯人はペイペイペイペペイペイと小躍りしていることだろう
熱帯夜にふさわしい怪談だわね…。paypay信用できないし、明細しっかり確認した方がよさそうね。
QRコード読むだけでこうなってしまうのは割とまずい。
20年ばかり前はまだ「A:詐欺のプロ」と「B:IT係のプロ」が完全に別の存在だから逆援助交際・出張ホスト詐欺スパムなんて馬鹿な物が大流行したが、いずれAとBの融合が予見されてた記憶。それが実現した結果が今のこれ
例のpaypayフィッシングの件、検証記事。確かにこれは簡単に悪用できるな。今頃、同じような穴があいてるサービスないか探し回ってるやつらがいるのだろうなあ。
「スマホの操作がQRコード2連続スキャンのみ」「WINTICKETとPayPayと名義相違していもチェックがない」「垢BANされてました」「お金返してください・・・」「19時頃にはWINTICKETとPayPay連携機能が停止されていました」
前から重要事項について確認がなさ過ぎると思ってたが。金融庁とかの管轄ではないのかな、コード決済は。
あほやろと思ったけどさすがにこれはセキュリティがザルすぎるな
元記事で「端末移行で〜」とかドヤ顔してるデマコメにスター付きまくってるの、本当にブクマカは自分で何も考えてないなとよくわかる。早々にwinticket連携の問題って書いたのに誰も見やしねえ。
あんだけ端末移行前提でブコメ盛り上がってたのに端末移行ちゃうんかいww
良くこんなシステムが流行ったなあ。
これPayPayのフィッシングも危ないけど、普通に競輪してる人もWINTICKET乗っ取られたら200万円引っ張られちゃう可能性あるんだよな。競輪サイトのログインなんて銀行や証券会社ほど慎重にやる人少ないでしょう。
金を使わせたかったんだろうけど、チャージ権限まで連携先に渡すの酷すぎる。どんな権限渡すのか表示することさえしていないし。
“私自身は正規の利用しかしてないですが、履歴上不審と判断されたようです。大丈夫だとは思いますが、お金返してください・・・。”これは返してあげて…
pepepe▶▶▶≫
検証助かります。やっぱりこれだった。『WINTICKETにて残高チャージ』『銀行口座を選択することができ』『オートチャージ設定がOFFでも「チャージして支払う」は有効』ぎゃー。
もう有効期限切れてるからいいんだけどQRはそんなに細いバッテンじゃ無効化できないよ エラー訂正で十分に読み取れる
WINTICKETとPayPay連携なんてやったことある人はそこそこの数がいそうだし、「これ悪用されるとまずいな」って思ってた人もそこそこの数いそう
思った以上に雑だった なるほどなー
“適当に硬いレースに投票し、1.0倍に近いオッズで払戻金を受け取る” これ競輪でポイント現金化とかで用いられるよなー
手間が増えると離脱率が上がるからと安直に考えた結果なんだろうけど、それは必要な手間なんだと思う
なるほどー…
ブコメは後で間違いが発覚してもスターを消せないのが弱点。ブクマ主が気づいて追記すればいいのだけど。サイバーAとpaypayが協力して補填すべきよね。
褒めるところじゃない。マネロンされとるやんけという。WINTICKETを使っての被害かなり出とる。/クレカの先例あるんだからちゃんと真似てほしい。本人が確認出来ないと駄目(本人確認はちと意味が変わる)
恐ろしい…QR決済滅んでどうぞ。
PayPayに飛ばして入金してから戻ってきてチケットを買う操作をするのは面倒なので、一つのアプリ内で完結させて購買意欲を高く保ちたいのはわかるが、ならば連携を同一スマホに限るなど厳格にするべきではなかったか。
QRの制限時間ってどうやって抜けたんだろう。なんかもっとやばい構造的欠陥がありそう
"<del>オート</del>チャージ権限まで取れるのか" チャージ操作するのは支払者だから権限委譲してるわけじゃないだろ。サイトもpaypayや。そこは普通の使い方と何も変わらん
ありゃー、検証結果…。
なんか怖そうと思いPayPayには手を出さなかった還暦。マイナカード作成のキックバックがPayPayだったらしいけど、それすら分からない…w
認証と認可の設計がグチャグチャ。QRコードの読み込みだけで資金移動できる仕様ってちょっと常識では考えられない。生成AI に設計させたほうがマシなのでは?
垢banは正しい。確認する余裕ないから一括で止めたんだと思うよ。筆者も書いてる通り精査して返金されるかと
中の人が反社と組んでわざと作ったんじゃないかと邪推できるレベル
Xにしろ、FaceBookにしろ、メルカリにしろ、犯罪者に使いやすいサービスを作ったもん勝ち。
ナスダック上場に響きそう
「オーソライズ操作」から「連携先の意味と目的」が切り離されているとき、悪意ある仲介者は“合法な操作を組み合わせる”だけで搾取が可能になる。
検証助かる
クレジットカードだと詐欺にあっても保証があると思うけどPayPayは保証してくれんだろな…
いろいろ設計にも思うところはあるけど、1番悪いのは犯人なので逮捕されることを願います。
paypay擁護じゃないが、この人が検証してるかどうかはシステム的には判断出来ないからBANは仕方がないかと(異議申し立てで金取り返せればいいけどもね)。軽快に使えるからこそセキュリティ弱いんだろうな
“払戻金は現金化が可能で、こちらはWINTICKETアカウント(本人確認済)と名義が一致している口座を登録することで振り込みが行われるようです。”
客層がなぁ
垢BANされたのはPayPayじゃなくてWINTICKETの方でしょ?