ゆうちょのATMで(理論上)無制限のパスワードアタックが可能かも??
未確認ですが、ゆうちょのATMで(理論上)無制限のパスワードアタックが可能かもしれません。
今日、ゆうちょのATMで提携銀行のキャッシュカードから現金を引き落とそうとしたときのことです。私は最初に暗証番号を2回間違えてしまいました。ちなみに入力フローは「暗証番号入力→金額入力→間違い判明」です。金額をあとに入力してから正しいか間違いかが判明するようになっています。
そして、3回目に正しい番号を入力しました。すると「暗証番号→金額入力」へ画面が切り替わる際にATMの内部から「ガガッ」という機械音が聞こえてきたのです。多分1、2回目では鳴っていなかったと思います。「ガガッ」という機械音は正しい番号を入力したときだけに出る音ではないかと考えました。画面はまだ金額入力の画面で、フロー的には暗証番号が正しいか間違いかは判明していません。
一般的なATMでは暗証番号の入力ミスを3回続けると支払い停止になります。もし金額入力をせずにキャンセルした場合に入力ミスの回数にカウントされなければ、機械音を合図にして何度でも暗証番号を入力できてしまうことになります。
支払停止になると困るので実証はしていませんが、実証する人が現れてくれたらラッキーなのでもしやと思って書いてみました。
コメント / トラックバック