投げ銭サービス『Osushi』がリリースされるが・・・
さきほどサービスをリリースしました!
— Osushi (@_Osushi_Love_) 2018年2月1日
レッツ投げ寿司!???https://t.co/jzjeNzCGgu
色々ガバガバすぎるためおもちゃにされてしまう
osushiという新しい投げ銭システム、どうもIT業の人たちの呟きを見るに「webサービスのシロウトがいきなりお金を扱うシステムを作ったせいで、あちこちガタガタでセキュリティ的にヤバい上に違法の可能性がある」ということのようで、面白そうでもしばらく遠巻きに様子見た方が良さそう。
— PKA (@PKAnzug) 2018年2月1日
osushiに悪いエンジニアがアタック仕掛けてて笑う
— 芳野貴裕 (@gb7k) 2018年2月1日
案の定Twitterの性格悪い連中がOsushiで遊び始めてて笑ってる
— 泡 (@abcdekind) 2018年2月1日
寿司の挙動の様子がおかしい
自分で自分にお茶を送れるのかー / お茶を @MintoAoyama に送りました? https://t.co/TW3lbuQicS #osushilove @_Osushi_Love_さんから
— アオヤマ ミント (@MintoAoyama) 2018年2月1日
倫理観を問われてる pic.twitter.com/rBMWcJIAff
— 赤字年(JC13) (@hnle0) 2018年2月1日
決済処理の様子がおかしい
ユーザの同意なしにクレジットカード情報記憶すんなや pic.twitter.com/MigWtTwB8v
— kouhei (@39ff) 2018年2月1日
改善されたようです。
— kouhei (@39ff) 2018年2月1日
が、過去のクレジットカードの情報は..?(変更しようとしたらこの画面になっていたので pic.twitter.com/yR7Lms38I1
なんか1こしか送ってないのに3回決済されててめっちゃ受ける
— kb10uy (@kb10uy) 2018年2月1日
— kb10uy (@kb10uy) 2018年2月1日
ユーザー名の様子もおかしい
すごい ユーザーIDに制限文字もなければサニタイズもされてないので特殊文字入れたら即死、他人と同じIDにできるというミラクルな仕様だ
— プリンス・オブ・ウェールズ (@arclisp) 2018年2月1日
ユーザー名、既に使われているものへも変更可能っぽいな
— あ (@rit_ln) 2018年2月1日
https://t.co/lTVoLVcB8H
— kb10uy (@kb10uy) 2018年2月1日
というわけでパーセントエンコーディングは使えるみたいですね
いやいや使えたらまずくない?w
— kb10uy (@kb10uy) 2018年2月1日
ユーザー名を
— よだれいぬ(凍ってない方) (@pabroff_freeze) 2018年2月1日
/etc/passwd%00
にしたらプロフィールにアクセスできなくなったwww
ユーザー名を login に変更したら終わってしまった
— kosuge@2/4 YATTEIKIオールスター感謝祭 (@9m) 2018年2月1日
やはりユーザーIDの重複チェックはしていない模様
— 目代昌幸 Office 365 MVP (@mokudai) 2018年2月1日
ひよこさんにお寿司を送りましょう? https://t.co/DdTXLqxSIp #osushilove @_Osushi_Love_さんから
所々TwitterOAuthを全面的に信用した設計になってるのに何で独自でID設定できる仕様にしたんだマジ…
— ばんくし (@vaaaaanquish) 2018年2月1日
https://t.co/Z8T91H8k9O、ユーザーネームをバックスラッシュにしたらしにました pic.twitter.com/RuqeDcdY8U
— プリンス・オブ・ウェールズ (@arclisp) 2018年2月1日
他人のIDになれたうえに自分のページがあいかわらず死んでいるという状態 pic.twitter.com/y8omkxgSOL
— プリンス・オブ・ウェールズ (@arclisp) 2018年2月1日
振込システムの様子もおかしい
「残高が1,000円以上の場合に限り、月に一度自動的に銀行振り込みを行います。
— kb10uy (@kb10uy) 2018年2月1日
振り込み手数料として200円かかります。」ってこれ月収入200円以下だったら無限に損するのでは
今の仮想市場は狂ってるので100円と交換できる?トークンを発行するようにすると謎の投機が発生しそう
— 竹馬 光太郎 (@mizchi) 2018年2月1日
Osushi、クレカで自分に現金送りつけられるのでわるい人達がわるいことしてクレジットカード作らせて現k
— ばんくし (@vaaaaanquish) 2018年2月1日
osushi、他人のtokenを手元で作れる気がする。とりあえず、同僚のプロファイルを書き換えることに成功してしまった...
— Yosuke Kurami (@Quramy) 2018年2月1日
皆さん、https://t.co/9cl8tYNKBL
— 人間性の獣 (@0x6d61) 2018年2月1日
でお遊びかと思いますが
第三者がプロフィールなどを書き換えることができる脆弱性があるので気をつけてください。(ちなみに開発者にメールで連絡済みです)
(手法のツイートが散見されるので注意喚起の意味で)
— らまっこ (@llamakko_cafe) 2018年2月1日
Osushi、口座情報を含めた任意のユーザの情報を閲覧・編集できる問題があるので、口座情報をすでに登録してしまっている人は削除したほうがいいです。
なぜか退会リンクすらないままリリース
申し訳ありません。退会のリンクが現在用意できておりません。近日中に用意いたします。
— Osushi (@_Osushi_Love_) 2018年2月1日
クレジットカードに関しても現在新しいカードで上書きするしか方法がありません。こちらも近日中に対応いたします。 #peing #質問箱 https://t.co/qJzyJSyiQi
こちらに関しては、現状、[email protected]宛にその旨を送っていただければ個別でデータ削除いたします。
— Osushi (@_Osushi_Love_) 2018年2月1日
退会のリンクはないがAPIは存在する??
— 3qgt (@3qgt) 2018年2月1日
退会のリンクないのに利用規約に「ユーザは、当社が定める方法により、いつでも「Osushi」の利用を終了し、Osushiから退会することができます」って書けるのすごない?
— ばんくし (@vaaaaanquish) 2018年2月1日
サービス内容自体が怪しいとの声も
仮想お寿司にしたところで、それが直接的な金銭的価値を持つので、資金移動業者として登録する必要があるよね。
— 伊藤 祐策(パソコンの大先生) (@ito_yusaku) 2018年2月1日
しかも利用している支払い代行サービスのStripeの禁止業種にあたるからお金を引き出すときにサービス内容確認されて引き出せないエンドとかありそう... pic.twitter.com/qXL2xwUf7k
— あず㌠ (@ta_ru_ku_) 2018年2月1日
osushiのクライアント、ソースマップからtypescript復元してローカルでビルド&実行出来た
— tkr (@kgtkr) 2018年2月1日
cssは復元無理だったのでデザインはあれだけど pic.twitter.com/o1yBaKlFF3
現在は徐々に改善に向けて動いている模様
多くの反響をいただき誠にありがとうございます!誠に申し訳ございませんが、一旦メンテナンスモードに入らせてください。
— Osushi (@_Osushi_Love_) 2018年2月1日
・各種システム改修
・お問い合わせ対応
・運用フロー整備
などを行わせていただきます。
メンテナンス中のお問い合わせは [email protected] へのメールもしくは本アカウントへのDMでお願いします。
— Osushi (@_Osushi_Love_) 2018年2月1日
残高やお支払いただいた金額については順次アナウンスもしくは個別にご連絡させていただきますので、誠に申し訳ありませんが今しばらくお待ちください。1週間以内を目処に対応いたします。
— Osushi (@_Osushi_Love_) 2018年2月1日
【ご報告】
— Osushi (@_Osushi_Love_) 2018年2月1日
リリース直後の本サービスですが、様々な不具合等が確認されております。
ご迷惑をおかけして誠に申し訳ございません。
直近の対応として、全データ(ユーザー情報、決済に関する情報、メッセージ情報など)を完全に削除させていただきます。
(つづく…)
また、お支払いいただいた金額ですが全て支払い者への返金処理をさせていただきます。
— Osushi (@_Osushi_Love_) 2018年2月1日
受け取った金額については誠に申し訳ありませんが振込はなしとさせてください。
すべての作業完了は明日午前中までを予定しております。
重ねて、ご迷惑をおかけして申し訳ございませんでした。
この話題への反応
・サニタイズって「消毒」って意味なので、こういう「脆弱なサービスは消毒だー!」とばかりにみんなで乗り込んで暴れる様子のほうにむしろ合ってるのでは、とかふと思った。(削除なり拒否するなりエスケープするなり、手段を問わず「無害化」する、という意味だと認識しています。文字列をどこにどう使うかによってその内容は違ってくるし)
・(っ'-')╮ =͟͟͞͞?ブォン
・この「法的に登録必要だと知らなくて商売始めちゃってました」のガチなやつ目の当たりにしたことあるけど、ホンマにいるのよね。こんなガバガバなの。
・まともな実装だったらこれほど流行っていなかったことを考えると、エンジニア向けマーケティングに関する深い知見を感じるな
・エンジニアはValidationにうるさいので文字列や数字を打ち込める場所があればどんなところにでも現れて引っ掻き回していく
・それ以前が酷いのはどうにもならんけど、サイト停止後の対応については及第点以上をあげられるのではないかと思います。
・とりあえずデバッグ目的とはいえ自分宛の送金を自分のクレジットカードでやった人はカード会社から怒られて当然なので覚悟しといてね
・悪意を持ってぶっ壊そうとしてるというより、どういう構造になってるか、バグがどこかにないか検証せずにはいられない好奇心でやってる人の方が多いとは思う…が、現金を扱うサービスでこれは…
・本来なら金と時間がかかる作業を無償でやってくれるのでとてもいい人たち(なおその過程で発生した損害については考えないものとする)
ここまでガバガバな状態で見切り発車って逆にすごいな
売り上げランキング: 21
売り上げランキング: 145
質問箱とかいうのより実質的なので頑張って欲しい
好きな絵師とかに金送りてえ
CoinCheckもこんなレベル
「「「ウォンタ株式会社」」」
絵師に投げたいならEntyでいいじゃん?
ちゃんと作って再リリースすれば流行るかもしれない
これはクレカが有効か確認してるだけな
額がマイナスになってるだろ
馬鹿が無理すんなよ
それ月額で入会するだけで投げ銭はできないでしょ?
仕事欲しさに物理的に不可能な受注もするブラックは多いからな
こいつらはこいつらでまた納期厳守で完成度なんか見もせずにそのままリリースしたんだろうな
バカとバカがかけ合わさって更なるオオバカが生まれた感じ
日本では実によくあるケース
現金を扱うアプリで色々悪さ出来ちゃうのはまずいですよ
口座情報抜きまくり
引っかかる方が頭悪すぎるレベルの釣りサイトということでひとつ
ヒカルも放置してるし
いや寿司ってのはエンジニア界隈だとエンジニアが好きなもので通ってるからそういう受けねらったんでしょ
給料少ないけど海鮮丼毎日食べれますで釣ってる会社もあるぐらいだし
金くれって言うと露骨だろ
そんなのも知らないでクレカ使っているのか・・・・・・
頭の悪い底辺ヤクザのパクリシノギな事が見え見え。
こんな怪しげなものに飛びつくアホもアホだわ。
今時タダでやってくれるとこ中々無いぞ
決して鮮度は戻らない。
・カード情報が消せない
・資金決済法に引っかかる可能性
・他人のIDが取得できる(上書き)
こうやって歳を食っていくんだな(´・ω・`)
後でしれっとこれからは正しく生きるとか言い出して直したりすればどうとでもなるけど
そもそもサービスとして成立してないレベルやな
Osushiは近い将来ビットコインでも投げ銭できるようにするつもりだったらしいね?
信用できます?これを?他人のお金と信頼をこんな形で扱うなんて…ひどい…。
URLのクエリストリングでパスワードを渡してて
セッション管理すらされてないのでアドレスさえわかれば
そのユーザー情報が丸見えになるお馬鹿仕様
アドレスがGoogleにキャッシュされて盛大に購入履歴とか住所・氏名が流出
あのCGIはやばすぎたw
手数料中抜されるだけやから直接おくればええやんw
アルファ、ベータバージョンから公開して
ユーザーにデバッグしてもらう時代になったかw
浮かれたオフィスで浮かれた勤務でいい思いしたいだけの連中なんだからよ
脊髄反射で出しましたの多すぎなんだよ
は金扱うサービスじゃやばいよね。
下手したら投資詐欺か逮捕だからね~
金扱うのは慎重にやらねえと危ないよ
悪用された
訴訟
倒産
まっしぐらだからね
遊ばれているのはどっちだ
リスク回避な為に外部の決算システムを使う
普通は
デバッガーとして無料で働かされてるようなもんだな
恥ずかしい野郎だw
うまく使えるようになれば面白いだろうし
障害児を育てるのはしんどいやろ