【速報】7pay、ヤバ過ぎる衝撃の新事実判明wwwwwwwww

   

【速報】7pay、パスワードなしでログイン出来る脆弱性が判明

1: 2019/07/12(金) 23:58:53.54 ID:Q2aYQduP9

セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。 

45: 2019/07/13(土) 00:18:26.13 ID:DH1Or18c0

>>1
ここの会社ヤバすぎだな
今までも使ってないけど今後はクレカとか重要性高い情報ガチで使わないことにする
楽天やTカードと違って自分が関わる前にボロ出してくれて助かった

324: 2019/07/13(土) 03:11:16.28 ID:nLwJJXpV0

>>1
退化、劣化が止まりませんねぇ

12: 2019/07/13(土) 00:05:26.99 ID:qSfEjFS80

キャッシュレスとは、財布に穴をあけることとみつけたり

20: 2019/07/13(土) 00:09:39.17 ID:BlzInBFB0

これは外部IDでログインしているユーザーがどう気をつけていてもしょうがないな


中間おすすめ記事
【緊急事態】日本史上最低最悪の新入社員が来やがった・・・ご覧ください・・・

【速報】俺「風呂入ろっと(ガチャ」 姉「えっ(着替え中 」→ 結果wwwwwwww

【速報】次の薬物逮捕は国民的タレントF→ ネット民が特定を進めた結果・・・・・・・

【狂気】農家さん、ヴィーガンの夢をぶっ壊すwwwwww(※衝撃画像)

【闇】生保レディの実態がヤバすぎるwwwマジかこれwwwwwwwwww

【マジかよ】駅員が2chに降臨!!!衝撃の事実を暴露・・・・

【衝撃】セブンイレブン700円くじの必勝法がコレ…店員が2chで衝撃の暴露を開始…


【愕然】クレジットカードの裏のサインが漢字のヤツ・・ヤバイぞ・・・

34: 2019/07/13(土) 00:14:36.90 ID:EUxHs/Pk0

何人の担当者のクビが飛ぶの?

つか、日本大丈夫?こんな事ばっかりで

37: 2019/07/13(土) 00:16:07.62 ID:WRq+B2uu0

>>34
もう無理じゃないかなあ
派遣認めた時点で終わった

50: 2019/07/13(土) 00:19:36.30 ID:2z9oBil70

むしろ実装できてた部分を探した方が早いんじゃないかww

86: 2019/07/13(土) 00:28:38.08 ID:WRq+B2uu0

新しいサービスは半年くらい放置して様子見た方がいいな
中がどうなってるかなんてわかりにくいし

152: 2019/07/13(土) 00:52:57.50 ID:BauXRP4k0

お金を扱う資格無しだろこれは。
一ヶ月や二カ月で、復帰させてはいけない。

193: 2019/07/13(土) 01:08:26.40 ID:35vvZU4z0

やっぱopenIDシステムは絶対使わないようにしよう
どっかザルだったら全部不安になるじゃん

209: 2019/07/13(土) 01:13:56.81 ID:mA0Vwm2+0

ペイペイって登録してない人のクレジットカードが割られる脆弱性があったじゃん?
7payはそれないの? あくまでも会員だけの被害?

169: 2019/07/13(土) 00:58:56.59 ID:hid70w4N0

個人で作ったシステムにも劣るな…
一体いくらで作ったんだよ?

249: 2019/07/13(土) 01:35:00.67 ID:XPwdMyu60

セブンイレブンアプリ+ペイペイの俺も危ないの?

268: 2019/07/13(土) 01:43:48.77 ID:4tmVP8PY0

よくこんなので買い物なんか出来るなぁ・・・。買い物は現金に限る。

293: 2019/07/13(土) 02:11:45.70 ID:QP3oME940

ここまでガバガバだと改修するより作り直した方がいいレベルだろうな

296: 2019/07/13(土) 02:15:26.37 ID:2Hw6rIQC0

二段階で文句いわれたから5段階認証にしました
とかバカやってくれそう

323: 2019/07/13(土) 03:05:45.15 ID:m3pMjMb40

決済システムとして脆弱というより
そもそも決済システムの体をなしていない…?

338: 2019/07/13(土) 03:32:31.97 ID:68PZizhz0

マジで一回運用を完全停止しろって
バグ出しからやり直せ

364: 2019/07/13(土) 04:09:21.01 ID:Qi81KiF30

これが7payの革新的なテクノロジー「ノーガード戦法」。

392: 2019/07/13(土) 05:22:33.92 ID:XC55yeNo0

セブン間抜けすぎるが、これを中国人がすぐに見抜いて犯行に及ぶまで手際がよすぎる
システム設計に中国人が関与したか、内通者がいたとしか思えない

381: 2019/07/13(土) 05:09:12.21 ID:O5vGRQOv0

脆弱性以前の問題w

416: 2019/07/13(土) 06:03:23.35 ID:8u69oIsj0

こりゃこれから先数年は情報セキュリティ系の試験が捗るな
素晴らしい事例だ

420: 2019/07/13(土) 06:06:42.98 ID:23w02/vj0

もはやセブンなんてたいした存在価値ないよな

448: 2019/07/13(土) 06:43:15.52 ID:uwb1893v0

きっぱりやめて仕切り直せよ、もう無理だろ。

450: 2019/07/13(土) 06:46:53.07 ID:65LIriYr0

>>448
ぶっちゃけどうするんだろね?
Nanaco客までごっそり減ったみたいだし
今も7payはレジチャージも不可状態
本当は7payとPayPayで20%還元やるはずがPayPayだけ

499: 2019/07/13(土) 07:52:14.16 ID:sx3+UAgj0

パスなしでログインwww
ここまでやってくれると、不正アクセスにはならんだろwww

505: 2019/07/13(土) 07:55:20.04 ID:GfLTbbun0

日本人にIT化は早すぎたって話だね、中国の真似してQRでも使ってたらいいんじゃない

544: 2019/07/13(土) 08:21:03.04 ID:BDHXB0uo0

被害者はお金は戻ったのかな?

588: 2019/07/13(土) 08:57:58.54 ID:pcEEneZR0

慣れというものは恐ろしいものでクレジットカードのセキュリティの低さが問題視されない世の中が怖い

618: 2019/07/13(土) 09:21:25.05 ID:da5CXJ9m0

終わってるやん。
システム担当者なにしてんの


おすすめ記事

【元彼の復讐】後藤真希「ヤバイ写真」大量流出かwwwwwwwwww

【異変】うちで俺の彼女&親友の富山と酒飲んでた俺→その夜中、目が覚めた俺「あれ?2人は?」彼女「あ・・・ん」俺「マジ!?」

【泣いた】高校生の娘が彼氏を連れてきた。俺「仕事は?」彼氏「はい(名刺スッ)」→ 俺、号泣する結果に・・・

【警告】二つ折り財布もってる奴、ヤバイぞwwwwwwwww

【激震】コンクリ事件の犯人の現在、またやってしまった模様・・・

【恐怖】とんでもない中学生をご覧ください…日本終わってた…

引用元:http://asahi.5ch.net/test/read.cgi/newsplus/1562943533/

Copyright © 2019 まとMETAL All Rights Reserved.

 - まとめ