昨年の領収書を整理していて、
驚愕すべきセキュリティーホールを発見してしまいました。
Tポイントは、この方法で、「正しい会員番号」と、その「残高」の組み合わせが、ゴッソリ収集できてしまうのです。
会員番号さえ判明すれば、ポイントを盗めることについては、昨年、
指摘していますので、ご覧ください。
つまり
他人のTポイントが盗み放題です。
こんなセキュリティーホール、放置しておいては、なりません。
以下、当業者に即時の対策を促進するために、また今回の穴は、客・個人の側でも対策可能ですので、危険な穴について公開したいと思います。
昨年8月、私のdポイントが消滅する事件がありました。
このことをキッカケに、dポイントのセキュリティーホールについて、9月18日付けで考察しました。
→
「【悪用禁止】dポイントを盗む方法。pontaポイントを盗む方法。楽天ポイントも」
他人の会員番号さえ判明すれば、それをバーコード化してシール印刷し、正規の会員カードの裏側に重ね貼りすることで、他人のポイントを(犯罪ですが)自由に盗めるという点を指摘したつもりです。
つまり、
会員番号=お金、なのです。
問題は、この「正しい会員番号」というものをどうやって手に入れるのか、が、ひとつの関門になっていました。
ですが、Tポイントは、ご丁寧にも、正しい会員番号と残高をセットで、大量に入手できるという、驚愕の事実があったのです。
ガソリンスタンドENEOSや、J-Questのレシートです。
愕然としたのですが、なんと、Tポイントカードの会員番号と残高が、そのまま暗号化もされずに載っているではありませんか。
ガソリンスタンドのゴミを回収すれば、大量の廃棄レシートを入手できるでしょう。
その中には、Tポイントを使った客のTポイント番号が大量に存在しているはずです。
あとは、残高が多い客の番号をバーコード化して、ドラッグストア等で使うだけ。
簡単でしょ。 ←いいえ犯罪です。
ゴミはどう回収すればいいか、その方法も考えて見ました。
(1) スタンドでゴミ箱を荒らす。
→これは、リスクが大き過ぎる。
(2) スタンドの店員を買収する。
→これは、足がつきやすい。
(3) ゴミを目当てで店員に就職する。
→非効率。でも店員が出来心を起こすというパターンは、あり得るかも。
(4) ゴミ回収車の運転手を買収する。
→これだと、警察もそこまで頭が回らないだろう(と指摘しておきますので、今後、警察各位が目を配ることを期待しておきます)
(5) ガソリンのレシートの写真を送れば、もれなく10円……みたいなキャンペーンを実施する。
→これ、実際にそんなキャンペーンを行っている業者がありましたよね。
→あの業者は犯罪組織ではないと信じたいですが、あのキャンペーンのせいで
→レシート写真を送るだけでお金を貰えることに違和感を持たれなくなったので、
→当然、犯罪組織だって似たサイトを作る可能性は否定できないと思います。
→ガソリン単価の調査、などを名目にすると、どんどんカモが引っかかるかも。
とにかく、数百枚、数千枚の廃棄レシートを入手できれば、Tポイントの「当たりクジ」も山のように手にできるはずです。
このセキュリティーホール、他のポイント当業者のレシートにも存在しているのではないかと思いますので、個人でできる対策としては、
「レシートはすべて、必ず家に持ち帰り、シュレッダーに掛けること」
とにかく、これに尽きると思います。
Posted at 2019/02/27 09:29:25 | |
トラックバック(0) | 日記