■ このスレッドは過去ログ倉庫に格納されています
【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★3
- 1 :サーバル ★:2019/07/13(土) 12:54:37.11 ID:bR2XSw5F9.net
- [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn
★1 :2019/07/12(金) 21:54:11.59
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562943533/
- 857 :名無しさん@1周年:2019/07/15(月) 21:30:56.55 ID:y/uIq6rY0.net
- >>853
小売りに難しい事ができるわけないだろ
- 858 :名無しさん@1周年:2019/07/15(月) 21:31:00.38 ID:yw/KYLGY0.net
- もう半月になるのだけど
- 859 :名無しさん@1周年:2019/07/15(月) 21:31:56.63 ID:Iu6ij1vm0.net
- わざとやってるだろw
- 860 :名無しさん@1周年:2019/07/15(月) 21:34:33.95 ID:aCtTkCLW0.net
- ジャップって、最大手の
コンビニでもこの程度かw
- 861 :名無しさん@1周年:2019/07/15(月) 21:43:24.17 ID:w5P9uDIg0.net
- >>852
経営が別だから無理だろ
そもそもグループ社のノウハウをもってこないで素人幹部が回したのでこの結果
- 862 :名無しさん@1周年:2019/07/15(月) 21:56:40.88 ID:m971Z9xP0.net
- もう失格だろ
国もこんなの認可するな
- 863 :名無しさん@1周年:2019/07/15(月) 22:35:09.96 ID:Ul9qgVGn0.net
- これで消費税増税と意味不明の低減税率の適用するとどうなるかもうわかりましたよね(´・ω・`)
全力で穴をつつきましょう(なんて書くと逮捕されたりするのか知らん)
- 864 :名無しさん@1周年:2019/07/15(月) 22:58:08.40 ID:8tE/6A4K0.net
- ありえねえレベルだな
- 865 :名無しさん@1周年:2019/07/15(月) 23:07:31.01 ID:mdnENWib0.net
- つか小銭出すのが面倒なのとキャッシュレスならスイカやQUICPayとか既存のもので十分だからな
キャッシュバックやポイント目当てでそれが終わったらもう用がないからね
根本的な発展性に限界があるしかも乱立しすぎとかPC98や携帯みたいにガラパコス化して終わり
- 866 :名無しさん@1周年:2019/07/16(火) 00:06:48.58 ID:2VsRMJpJ0.net
- 本質的に考えると
日本のサーバーは情報がだだ漏れしてるから
デバイス認証入れないとやられるってことでしかないのでは
セブンのセキュリティがゆるいっていわれるがそれが5500万に
つながるゆるさではないしゆるさとこの事件とまったく関係ない
5500万で他の企業でも軽く情報が抜かれてるという
現実がわかったので
それは成果だ
- 867 :名無しさん@1周年:2019/07/16(火) 01:05:10.37 ID:WJhQ6xQ/0.net
- >>866
開発の時点できづくだろ普通
- 868 :名無しさん@1周年:2019/07/16(火) 01:23:27.23 ID:Yee0Bc7i0.net
- 使っているのがファー○ェイのスマホでIDとかパスワードがぶっこ抜かれてるとかだったりしたら怖いな
- 869 :名無しさん@1周年:2019/07/16(火) 01:26:41.52 ID:2VsRMJpJ0.net
- >>867
駄々漏れは気づけませんよ
なんらかのトリックがあってのことだから
日本の企業は本当に日本人を信頼してやってる
普通に仕事してればリスク負う必要がないから
仲介する暴力団のかわりに中国人が入ってきたとか
そういうことかな
- 870 :名無しさん@1周年:2019/07/16(火) 01:31:25.29 ID:0OFMGt0r0.net
- よほど発注費をケチったのかな
さらに業者と喧嘩して総入替とか
- 871 :名無しさん@1周年:2019/07/16(火) 02:38:47.81 ID:WJhQ6xQ/0.net
- >>869
その言い分が正しかったとすると
コスト-リスク判断のできない間抜けが決裁した事業でしたって記録が残るだけだと思うんだが
- 872 :Cojikitter Cojikinience Inchiki 48 CEO:2019/07/16(火) 02:45:02.33 ID:P1Q6U7ei0.net
- >>602
他人の子供の地学縁・起業意思(WILL)全部盗んでいましたが何か?
他人の褌只乗りしで氏ぬまで2nd人生謳歌し切りましたが何か?
お陰で他国に毟り取られる列島化してしまいましたが何か?
正に今日の時代の最先端を88'時からこの国先頭切ってやり遂げてましたが何か?
/goo.gl/maps/qgMkSRxhkv8EZLMK9
/light.dotup.org/uploda/light.dotup.org600607.jpg
- 873 :名無しさん@1周年:2019/07/16(火) 03:00:37.90 ID:/87PBSZw0.net
- セブンイレブンいい気分
- 874 :名無しさん@1周年:2019/07/16(火) 03:19:43.91 ID:Xmo7IMSD0.net
- >>869
派遣取ってると平気で中韓ベトコン混ぜてくるからムリ
派遣会社で確かな身元確認なんてしてないし
- 875 :名無しさん@1周年:2019/07/16(火) 03:21:48.48 ID:nc306O9A0.net
- 元請けベンダーはどこだ?
- 876 :名無しさん@1周年:2019/07/16(火) 04:35:19.36 ID:XeqLnfZa0.net
- わざわざアプリ出すよりナナコカード出したほうが楽だしなぁ
こんな糞開発やるなら、ナナコポイント還元率戻して欲しい
- 877 :名無しさん@1周年:2019/07/16(火) 05:11:34.08 ID:kWyhnP2T0.net
- バックに商社がいないとダメなのかねえ、コンビニって
- 878 :名無しさん@1周年:2019/07/16(火) 07:50:19.39 ID:nkvTfdVE0.net
- どうせ実際に開発したのは5次や6次の中小零細ソフトハウスだろっ
ホントに下請けは経歴詐称して入っといて何も責任取らずに逃げるんだから
全員責任取って死ねよ!
- 879 :名無しさん@1周年:2019/07/16(火) 09:08:55.66 ID:XEme2XRY0.net
- お粗末やなあ〜
- 880 :名無しさん@1周年:2019/07/16(火) 10:37:49.04 ID:dAZ5pyFL0.net
- >>191
自衛隊OBのしがらみで沖縄出店を見送ってたのかねぇ。
ttps://www.excite.co.jp/news/article/Litera_2307/
>
>同社は店舗の監視役に自衛隊出身者を大量投入していく。
>3代目社長を務めた栗田裕夫氏
>は終戦時の1945年に陸軍士官学校を卒業後、51年に陸上自衛隊に入隊。精鋭の北海道・苫小牧の第11師団長(陸将)をつとめた人物だ。
そして、55歳で自衛隊を辞めて、81年セブン入りすると、82年に取締役、92年に常務。同年に社長に就任するという、スピード出世ぶりだった。
- 881 :名無しさん@1周年:2019/07/16(火) 11:44:33.42 ID:SrPdabJh0.net
- >>2
これでスレ立てるわ
すまんな
- 882 :名無しさん@1周年:2019/07/16(火) 12:06:19.02 ID:FjUk3rD30.net
- 結局フランチャイズでオーナーという名の奴隷勧誘だけが強みで
ヨーカドーに見えるように商売は微妙だからね
金融・決済なんぞ出来る器には見えん
- 883 :名無しさん@1周年:2019/07/16(火) 12:18:50.26 ID:gDwKLjsS0.net
- >>218
>「セブン本部には『オーナー相談部』ってあるんですが、そこの相談員に自衛隊出身者がいると聞きましたね
>インテリジェンスのプロが集められているんでしょうね
ttps://www.excite.co.jp/news/article/Litera_2307/
- 884 :名無しさん@1周年:2019/07/16(火) 12:22:37.61 ID:SZuTAPsG0.net
- きょうびこう言う機能が備わったパッケージを導入するんで無いの?w
- 885 :名無しさん@1周年:2019/07/16(火) 12:24:05.04 ID:MJtbML/90.net
- パスワードって何ですか?
- 886 :名無しさん@1周年:2019/07/16(火) 13:11:03.03 ID:geRSQjjF0.net
- ほどほどに出揃ったみたいだな
7payは微妙だが、巻き込まれた系で、大元の脆弱性はやはりomni7のidだったな
- 887 :名無しさん@1周年:2019/07/16(火) 13:12:22.98 ID:zTL+6OlJ0.net
- 奴隷オーナーをアゴで使う優秀な正社員さんたちが開発してるんじゃないの!?
- 888 :名無しさん@1周年:2019/07/16(火) 13:46:17.89 ID:Der9QZ8aO.net
- >>887
奴隷を扱うなんてムチ一本と飴玉1個あればバカでも出来るよ
どうせ開発費ケチってまともな業者に頼めなかっただけだろ
- 889 :名無しさん@1周年:2019/07/16(火) 14:03:03.57 ID:o/nhwe5F0.net
- もう皆忘れているよ
韓国の事だけ考えておけよ
- 890 :名無しさん@1周年:2019/07/16(火) 17:41:28.07 ID:f1jHY86m0.net
- >>878
一回ベンダーがそう入れ替わりしてから、人員のスキルが一気に本で学んだレベルの素人に変わってたとも聞いた
まぁあの出来では素人がやったって事で何ら不思議はなかろう
- 891 :名無しさん@1周年:2019/07/16(火) 20:27:43.24 ID:ZAItPyXz0.net
- パスワードどころかIDの連番総アタックですら突破可能というw
- 892 :名無しさん@1周年:2019/07/16(火) 20:29:25.45 ID:LKn5xrMV0.net
- 損害は受注した開発会社からも取るから問題ないやろ
- 893 :名無しさん@1周年:2019/07/16(火) 20:30:31.29 ID:QIUu/vgw0.net
- ちょっと前に中国女アルバイトが逮捕されて、
仲間にIDとパスワードを教えれてたと話しとったとかいうことで、
>>1とは別の方法でやられちゃったんじゃないの?
それとも両方?
- 894 :名無しさん@1周年:2019/07/16(火) 21:59:34.95 ID:wQmoqA820.net
- >>893
ほい
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、
あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、
他人のIDとパスワードを入力してログインできた可能性がある。
- 895 :名無しさん@1周年:2019/07/16(火) 23:51:55.95 ID:nrE2XrzT0.net
- >>888
大正ーー解ッ!
ついでに工期も削りましたーーーー!
- 896 :名無しさん@1周年:2019/07/17(水) 08:39:59.29 ID:38T3+VyO0.net
- あかんわ。
- 897 :名無しさん@1周年:2019/07/17(水) 13:12:55.80 ID:CmVkaZDp0.net
- わしゃ知らね(´;ω;`)
- 898 :名無しさん@1周年:2019/07/17(水) 19:42:05.26 ID:XYR5oTgZ0.net
- 全く続報ないの?
お役所に報告するまで一切何もいわない感じ?
- 899 :名無しさん@1周年:2019/07/17(水) 21:36:09.65 ID:Q3fJLovp0.net
- これで、もう何とかPayの信用ガタ落ちだろう。
俺もとてもじゃないが全てのPayを使う気なくなった。
俺はPASMOでいいや。
- 900 :名無しさん@1周年:2019/07/17(水) 21:38:12.63 ID:i/HHwv/10.net
- ボロボロすぎてもはや驚きが無い
- 901 :名無しさん@1周年:2019/07/17(水) 21:50:19.42 ID:Tzjn8r480.net
- 野村総合研究所か?作ったの?
- 902 :名無しさん@1周年:2019/07/17(水) 23:02:20.67 ID:TC730ht60.net
- 何が厄介かって
これでセブンが潰れるだけなら何も問題無いが
他の既存キャッシュレス決済にまで皆疑心暗鬼になるところだわな
本当やらかしてくれたよ
- 903 :名無しさん@1周年:2019/07/17(水) 23:08:43.77 ID:DGz0fcNv0.net
- >>902
そうだね
キャッシュレス社会を実現するために政府が動いているのに完全に水を差した
7payで済む話ではない
- 904 :名無しさん@1周年:2019/07/17(水) 23:35:17.35 ID:f422YbLA0.net
- >>902
んーでも本当に政府や企業が欲しがってる奴等って、こうした問題があっても危機感なく情報さらしてくれる層なんだろうから
計画通りとも言えるんじゃ?
- 905 :名無しさん@1周年:2019/07/18(木) 00:37:51.45 ID:tNluAsO90.net
- JPQRが軌道に乗るまで何も使わないのが吉。
- 906 :名無しさん@1周年:2019/07/18(木) 10:17:13.68 ID:FJr0snYh0.net
- ビットコイン市場は取引所が禁止されている中国が牽引している危うい市場
中国政府が本格的な取引規制にのりだしたら大暴落間違いなし
ビットコイン高騰の黒幕か? 中国マネー流入の経路とその背景に迫る
https://cc.minkabu.jp/news/3216
ビットコイン購入の約45%を占める仮想通貨Qcash(QC)とは
それでは、ビットコイン購入割合の約45%占める(といえなくもない)仮想通貨
Qcash(QC)とはどんな通貨なのでしょうか。
QCash(QC)とは、QTUM上のブロックチェーンで作られた中国の元と紐づけられたペ
ッグ通貨です。
テザーが1USDT=1USDのステーブルコインであるように、Qcashは1QC=1CNY(人民元)です。
Qcashは主に、ZB.com(中国) BW.com(オーストラリア)という取引所で基軸通
貨の一つとして使われています。特にZBでの取引量が多いので、ビットコインの
多くは中国人に買われているといっても過言ではなく、ビットコイン高騰の背景
には中国人投資家の存在があることは間違いありません。
どうやって中国人はビットコインを買っているのか
中国では仮想通貨の取引が禁止されており、CNY建でビットコインをはじめとする
仮想通貨を取引することができません。
そこで登場するのが、Qcash(QC)です。QcashはOTC取引(店頭取引)で市場を介さず
に個人間でCNYと交換できます。
総レス数 906
201 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★