暗証番号をログに吐くとかあり得なさすぎて卒倒した - novtan別館

新人の頃からしばらくやっていた仕事も暗証番号の流れるものだったけどさあ…ログに吐くとかないよなーって。でも勘定系を直接触っていたわけじゃないのでそっちで吐いてたかも知れないけど、少なくとも僕の携わっていた部分ではこのような話は徹底されていたからな。 NTTデータは千数百台ある横浜銀行ATM（富士通製）にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク（光磁気ディスク）で富士通フロンテックへと渡していた。集約や受け渡しの過程においては解析用ログは暗号化されており、解読は不可能だという 富士通フロンテックは保守管理業務の一環として、ATMの故障時の調査目的などで解析用ログを復号して利用している。容疑者はこの復号後の口座番号・暗証番号を元に偽造カードを作成、不正出金を繰り返していたという。 「対策を打つ前にやられた」、NTTデータが横浜銀行データ不正取

[NOV1975]

そんなわけで、個人的にはありえない話だって印象なんだけど、案外そうでもない、やっているところを知っているという感想がありそうな予感／id:ardarim それはgkbrな話ですか？ｗでも現場の意識に頼るようではダメですな

[send]

このひどい話を見て、昔のATM端末でパスワード再試行10000回まで出来るクソ仕様のものがあったことを思い出した。金融系なんだかんだ言ってセキュリティひどいこと結構あるよなあ

[tmatsuu]

レガシーな世界のあるあるかもしれない。日本的性善説でカバーしてきたんだと思う。

[ROYGB]

その昔はカードの磁気データに暗証番号を記録してあって、それと同じなら出金できた。印鑑の印影も通帳にのっていた。

[spacefrontier]

書かれている問題点と、自社ビジネスを支える技術のコア中のコアの部分も外注に依存している構造上の問題と。実際の作業を担当する人は外注先の二次受け三次受けなんて事も。

[kanimaster]

理屈はそのとおりなんだけど、このやり方で顧客対応していたら銀行業務がつぶれる。印鑑照合のほうが手早くて確実。

[causeless]

"@NOV1975 暗証番号をログに吐くとかあり得なさすぎて卒倒…" via https://twitter.com/NOV1975/status/431299016237002752

[itochan]

NTTなんちゃら社クオリティ ですからしょうがない

[AmaiSaeta]

そもそも、仮に「暗証番号が合ってるか確認したい」としても、素の番号じゃなくハッシュ値にすれば良い。ハッシュ関数適用すれば合ってるか分かる訳で | 怖いのは銀行の客が糞システムかどうか判別する手がない事か。

[shiwork]

暗証番号をログに吐くとかあり得なさすぎて卒倒した - novtan別館 (id:NOV1975 / @NOV1975)

[hiromark]

ぐは

[LOFT]

> NTTデータは内部犯行は防ぎ得ないという見解のようだが、そもそも暗証番号をログに吐く事自体が間違ってではないか。

[miryu2008]

「対策がお粗末だった」と言うことを外野が批判するのってどれだけの意味があるのか、正直よく分からないです。

[hitoriyokozuna]

よーわからん仕掛なんやなぁ。ATM端末。

[hylom]

とはいえ、上の人に「暗証番号情報もトラブルシューティングに必要だから入れろ！」と言われてそれにきっちり反論して説得できるかというと難しそう。

[ardarim]

ちょっと書いたけどやっぱ消し。悲しいけど現場の人は意識高い人ばかりでないという現実はあると思う。