ノーマルビュー

Received — 2023年5月30日 お気に入り

他人のTポイントカードを乗っ取れる脆弱性が放置されている

✇スラド
著者:nagazou
2023年5月30日 13:08
はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている(はてな匿名ダイアリー)。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「Tポイント」と「Vポイント」が統合へ。2024年春をめどに新ブランド化 2022年10月05日
CCC、同意取得済のTポイントデータをオープン化 2022年08月01日
ENEOS、3大共通ポイントの付与開始 2022年04月07日
ヤフーでのTポイント付与、2022年3月末で終了へ。4月からはPayPayに切り替え 2021年12月02日
ポイントプログラム、活用してる? 2021年09月04日

マイナンバー誤登録問題、ポイントを別人に付与が113件確認

✇スラド
著者:nagazou
2023年5月30日 12:00

マイナンバー誤登録問題で総務省が25日に発表したところによると、マイナポイントがまったくの他人に付与される被害が90自治体中で113件確認されたという。マイナポイント第2弾では、カードの取得や健康保険証、銀行口座の紐付けなどで最大2万円分のポイントが付与されるが、これが別人に付与されていたという(TBS NEWS DIG)。

また、デジタル庁が誤登録に関して調査を実施した結果、1741自治体のうち1206自治体が回答。14の自治体から20件の誤登録があったと報告を受けたという。具体的には以下の通りとなっている(Impress Watch)。

  • 岩手県盛岡市(1件)
  • 福島県福島市(4件)
  • 福島県いわき市(1件)
  • 埼玉県ふじみ野市(1件)
  • 東京都豊島区(2件)
  • 神奈川県海老名市(1件)
  • 愛知県瀬戸市(1件)
  • 大阪府富田林市(1件)
  • 広島県大竹市(1件)
  • 福岡県北九州市(1件)
  • 福岡県中間市(1件)
  • 佐賀県嬉野市(1件)
  • 大分県大分市(2件)

  • *ほか1自治体が、公表について調整中

なお総務省は昨年8月の段階でこの誤登録問題を把握していたが、河野太郎デジタル相ら幹部が問題を認識したのが5月に入ってからだったことも報じられている(時事ドットコム)。

maia 曰く、

総務省発表によれば、マイナポイントを別人に付与した事例が、90自治体で113件あった(TBS )。例によって、役所のマイナポイント支援窓口で、市民が途中で手続きを中断し、ログアウトすることなく帰宅。で、前の情報が残ったまま次の人が入力して、別人に紐付けられてしまった。

すべて読む | ITセクション | バグ | 政府 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マイナンバー誤登録問題が拡大。現場では約3割データが一致せず 2023年05月24日
ヤフオク!、中古スマホ出品時にマイナ証明書の失効手続きをするよう要請 2023年05月17日
富士通Japan、コンビニ交付でまた不具合 2023年05月17日
マイナカード申請率76%に 「ほぼ全国民の水準に到達」と総務相 2023年04月07日

サードパーティ製カートリッジをブロックする HP のプリンター、エコラベルを剥奪すべきか?

✇スラド
著者:nagazou
2023年5月30日 06:03
headless 曰く、

International Imaging Technology Council (Int'l ITC) は 22 日、HP のプリンター 100 機種以上について EPEAT エコラベルの認定を取り消すよう Global Electronics Council (GEC) に申し立てた (ニュースリリースThe Verge の記事Ars Technica の記事Ghacks の記事)。

申立の対象は動的セキュリティ対応プリンターと HP+ 対応プリンターだ。これらのプリンターはサードパーティ製のインク/トナーカートリッジの使用がブロックされているが、EPEAT 認定の要件 4.9.2.1 ではプリンター本体のメーカー製でないカートリッジの使用を不可能にする設計を禁じている。そのため、HP がこれらの製品で EPEAT エコラベルを表示するのは EPEAT と GEC を侮辱するものであり、消費者の選択肢を失わせるのと同時にグリーンウォッシングを行っているとも Int'l ITC は指摘している。

すべて読む | サイエンスセクション | 地球 | HP | プリンター | サイエンス | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
HP、プリンターの互換カートリッジをまたブロック 2023年03月14日

❌