2月28日のtwitterセキュリティクラスタ
今度はPASMOを盛り上げようとしている高木先生です。
HiromitsuTakagi:パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 - 高木浩光@自宅の日記(2012年2月27日)takagi-hiromitsu.jp/diary/20120227…
「…そうしなければ、やがて、乗車履歴のデータエクスチェンジなどといった話も出てきかねないだろう。」
Benjamin_jp:@HiromitsuTakagi 「記名PASMOというのは、首都圏の私鉄を通勤通学に使用する人にとって、定期券として作らざるを得ない、避けて通れないものである。」 は、磁気定期券にすれば解決する。自分はSUICAにはできないルートを使うので、磁気定期にしている。
それに呼応するようにPASMO以外の鉄道ICカードの履歴照会情報について調べた人が現れています。ありがたいですね。
ritsukaPya:今問題の交通系IC券のネット履歴照会に必要な情報を調べてみた●ICOCA:提供無 ●スマートICOCA:郵送仮パスワード必須 ●PiTaPa:裏面情報(会員番号・期限・カードID下4桁)・申込時の氏名、電話番号、生年月日※上書再登録可 ●他の近畿中国地区の券:提供無※続く
ritsukaPya:(続き)●Suica:提供無 ●PASMO(無記名式除く):カードID・申込時のカナ氏名、生年月日、電話番号※上書再登録可 ●SAPICA(無記名式除く):カードID・登録時電話番号※上書再登録は不明 ●Kitaca・TOICA・manaca:提供無 ※続く
ritsukaPya:(続き)●SUGOCA・はやかけん:提供無 ●nimoca(無記名式除く):カードID・申込時の生年月日※上書再登録不可? ●LuLuCa:会員番号・申込時の氏名、生年月日※上書再登録可 ●passca・ecomyca・RapiCa・いわさきIC:提供なし
ritsukaPya:ということで、ネット上での履歴確認サービスを提供している券は、スマートICOCAを除いてカードに記載の情報と本人情報(氏名、生年月日の類)があれば第三者が登録しうる危険な仕様。例えばカードの写真をうっかり日記に載せたりして、それを本名も生年月日も知ってる人が見たら…
ritsukaPya:ショッピング利用時にはカードIDが全桁レシートに印字される場合があるようなのでそれにも注意が必要。(PiTaPaはSUで始まるカードID以外のデータが登録に必要なので、券の裏面を見せないことだけに気を配ればOK)
ritsukaPya:しかし、カードの現物なしで照会出来るという怖い処理をするのに、なんでこんなアホな仕様にしたんだ各社とも。既にこのように不正利用を勧めるサイトまでたくさん出来てる状態なのを知ってるんだろうか mo.north-tjc.jp/memo-d6378/
ritsukaPya:そんな中JR西日本だけはきちんと第三者による登録を防げるシステムになっていて、これは意外だった。あとICOCAにはノーマル券に記名式が存在しない。利用者登録が必要なのは子供券とクレカチャージ用のスマートICOCAだけ。必要がない個人情報は集めない方針なんだろうか
ritsukaPya:あとTOICAも記名式は小人券だけ。
ritsukaPya:不正利用を勧めているサイトのURLが間違ってた。 正しくは memo.north-tjc.jp/memo-d6378/
世界のみんなに見られてるってことは絶対に意識しておいた方がいいですよねー
Hamachiya2:にっきかいた→『ネットを利用するときに気をつけたいこと』 htn.to/svfKkU
その他に気になったことはこのあたり。
MasafumiNegishi:おや、ManTechが HBGaryを買収とな。両者の共通点 → どっちも Anonymousにコテンパンにやられたw investor.mantech.com/releasedetail.…
yasulib:「ハンド (逆) アセンブルのための x86 ニーモニックの覚え方 - @a4lg のそろそろ技術的日記」 d.hatena.ne.jp/a4lg/20120225/…
shafigullin:shafigullin.pro/s01.html this is my #s01xsspuzzle challenge. I even don't wait that somebody can solve it. But it is possible.
OwaspJapan:Web application security checklist 2012 (for auditors) code.google.com/p/wasclist/