By Fotero

インドの一部の企業が採用しているネット決済のシステムに脆弱性が発見され、カード情報を盗まれたり、ユーザーの取引履歴が盗まれたりする可能性が明らかになりました。ソフトウェアやシステムのバグを発見・開示し、企業のバグ修復を手助けしてその内容を公開することを目的としたブログ・Fallible Blogがその内容を公開しています。

Used your credit card online in India? It's probably stolen · Fallible Blog

https://fallible.co/blog//2016/03/30/payment-gateway-hacked-credit-card-leaked/

Fallible Blogは数カ月にわたる調査で、以下の事柄を明らかにしました。

1:国際的なクレジット産業向けのデータセキュリティ基準である「PCI DSS」のレベル1で保証されているペイメントゲートウェイから、完全なクレジットカード情報が流出している。このゲートウェイは毎月1500万件以上の取引を扱っている。

2:上記とは別の有名なゲートウェイからもさまざまなハッキングの補助材料となる部分的なクレジットカード情報や、ユーザーの個人情報が流出している。

3:さらに別のゲートウェイでは、一般的なグレードのゲーム用PCを使うだけで1週間以内にクラックされてしまうデータ保護システムを実装している。そのため、インドのユーザーの取引履歴は事実上フリーアクセス状態で違法的に販売されている。

Fallible Blogは1〜3に該当するそれぞれのゲートウェイに対して調査結果を通達し、通達を受けた企業はすでにバグ修復に向けて動き出しているとのこと。ただし3番めに関しては、インドではアメリカのような個人情報の通知・保護法が存在していません。そのため、今回の調査で該当するゲートウェイを使っているインド企業がデータ漏洩を起こしていたとしても、エンドユーザーに通告する義務が存在せず、誰にも知らされていない状態である可能性が高いとのこと。

Fallible Blogはインドでクレジットカードを使った人に対して「ハッカーは入手したクレジットカード情報を全て一度に使うわけではありません。企業側がクレジットカードを使っても安全かどうか保証していない以上、自身で不審な取引や請求書が届かないかチェックし続ける必要があります。できればインド系企業で使ってしまったカードは無効化してしまうのが一番です」と警告しています。安全なのは、3桁または4桁のCVV番号(セキュリティコード)とワンタイムパスワードを設定している国内使用に限定されたデビットカードのみだそうです。



By Ritesh Nayak

なお、脆弱性が確認されたゲートウェイを使用している企業は以下の通りです。

BookmyShow

Foodpanda

Freecharge

Mobikwik

Uber

Ola

Snapdeal

Rupay

Makemytrip

Yatra

Swiggy

Redbus

Voonik