[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/
記事によると
・セブン&アイ・ホールディングスが決済サービス「7pay」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。
・外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
・この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。
・「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めているが、7iDの認証システムにはこのチェック手順が実装されていなかったとみられる。
・これとは別に、7iDにログイン後、APIを通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。
・認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
この記事への反応
・ザルどころか枠やん
・一旦すべてのサービス止めて見直した方がいいんじゃないの? 日本ってフェールセーフって考え方が無いから 場当たり、後付け対策多いんだよね
・パスワードなんてなかった
・当初の想像の100倍くらいヤバくて草も生えない。ネトゲですら緊急メンテナンスレベルの事案なのにお金を取り扱う決済サービスでよく3日も通常サービス続けたな
・いや、確認不足にもほどがあるし事前に脆弱正診断してれば必ず指摘されるところ どこに頼んだの?
・パスワードなしでなりすましログインできるとか、ハッシュ化パスワードが取得できるAPIとか、なかなかすごい
・いっぱい穴があったんや🤪
・ログインにパスワードすらいらなかったんですね。 金庫を買ってきたら、ダンボールの箱だったレベルですね。
パスワードなしで他人のアカにログインできるって・・・どんだけザルなんだよ
『ポケットモンスター ソード・シールド』ダブルパック -Switch【ダブルパック限定特典】ヨーギラスとジャラコとの特別なマックスレイドバトルができるシリアルコード2種&【予約者限定特典】「ポケモンひみつクラブ」のメンバーになれるシリアルコード 配信posted with amazlet at 19.07.12任天堂/ポケモン (2019-11-15)
売り上げランキング: 6
キリン 午後の紅茶 おいしい無糖 2L PET×9本posted with amazlet at 19.07.12キリンビバレッジ (2019-04-16)
売り上げランキング: 158
他のものは一切必要ない
一番重要な部分ケチってプロジェクト大失敗して評判落として。ホンマ阿呆やで
焼き鳥も加えろ
準備期間がめちゃくちゃ少なかったらしい
信頼性が違うんだわ
あの社長個人情報保護管理者もやってたんだぞw
委託したシステム屋が大分やばいところなんか?
あたまわるそう
完成品にOK出してる時点で言い訳にしかならんわ
それってあの情弱社長を除く全社員はこの結末が判っててサービス開始したってことだろ。完全に確信犯じゃねえかwww
日本の経営者ってみんなITのこと無知だからね
7てめっちゃブラックだから仕方ない
これも7月1日スタートだけ決められててエンジニアは悲鳴を上げてたと思う
電子決済システムがザルだったのも
ディスガイアオンラインが使い物にならなかったのも
実はみんな同じ原因なんじゃないかって
使えないゆとり社員が会社にあふれているという説
単体テスト&結合テスト&納品チェックの問題
ちょっと前の日本なら
なんだかんだで有能なヤツが居て
それなりのものを仕上げていた
紐付けで全て終わってるんでないか?
アレって出汁取ってるの?笑笑笑
これからレミングの様にデスマーチ不可避
これが怖いよね
いちいち使えるかどうか確認しないといけないし
念のため複数の手段を準備しておかなくてはならないようでは
ぶっちゃけ使い物にならない
各社ポイント還元とかで釣ろうとしてるけど、その資金をセキュリティ強化に投入して、必要ないってくらいのガチガチのセキュリティ組んで安心安全をアピールしたほうが利用者は増えると思う
技術大国で電子決済がこのザマかい
なんで一々こんなどこの店で使えるか確認しないといけない上にセキュリティ糞で時間かかる方法で決済しなきゃいけないんだよ
電子マネーに不信感を与えたねセブン
電子マネー普及にブレーキかかったと思う
そしてnanacoに誘導
これで凶悪犯が電子マネー使ってたら終わるかもな
犯人は電子マネーを使っており…みたいなニュース流れてさ
FeliCaだと機器導入のためのお店の初期投資が高くつくからなかなか利用店舗が増えないんだよ
QR決済やらバーコード決済だと初期投資が少なくて済むからお店が導入しやすい
ペイペイなんて無料で配ってるから今急激に利用可能な店舗が拡大してるし
セキュリティなんてなかった
それなななな
コンビニのおでんなんてよく食べる気になるよな
バイトしてたけどむしやらなんやら混入しまくりやで
もし混入しても廃棄するわけじゃなくて虫を取り除いて
知らん顔して販売してるんだよなwww
誰がかいたんだ・・・
店にくる客や取引先、契約店を舐めてるから
こういうシステムやアプリ製作も甘くみてたんだろうな
セブンの資金でどれだけ流行らせられるか気になるねえ
おでんつんつん男がいてもか?w
店員がおたま股間にあてがってもか?w
DQNやはちま民が
「だれがこんなの使うんじゃボケ」
で終わりそうw
聞くまでもないだろw
全て想像した通りだよw
おでんの時期に虫が湧くかよw
どこの沖縄だw
ファミペイにぶつけるために、納期を大幅に短縮させて未完成のままリリースしたんでしょ
普段から己のフランチャイズのオーナーを奴隷にしている態度で
システム発注先を扱った結果なんだと推察
日本は先進国の中でも最低レベルまで落ちぶれなてるからねえw
FAX・印鑑マンセー国家だぞココ
安心安全の日本製とかいう過去w
バックドア仕込まれるわ
素人丸出しの恥晒してたよな
これが最高のセキュリティ
ここまで来ると、セブン銀行も怪しいんじゃないか?
じゃなきゃサービス開始直後に一瞬で
弁当は縁をフィルムで覆ってなくて汚いし汚物販売コンビニ
ファミマローソンで決まり
日本は偽造紙幣は他国より圧倒的に少ないしキャッシュレスにする意味は薄い
企業側の利便追及なんだよね、客にメリットは皆無
セキュリティ意識そのものが欠落している
スマフォにバーコード(QRコード)
表示させて決済するのに違和感を感じる
政府は、東京オリンピックで外国人のためにキャッシュレスにしようとしているんだよ。
それで各社が無理なスケジュールで「○○pay」を投入し始めた訳。
キャッシュが大好きなのは反社マンとな脱税マンとかそういうのばかりだら現金信者ってそうなんだろうな。
IPAウキウキやろなあ・・・
PSN個人情報流出事件で調べれば出てくるよ
そもそもオリンピック観戦に来れるような外国人なら金持っててクレジットカードくらい持ってるよ
政府の目的はクレカも持ってないような貧困外国人労働者向けだな
で?こんなとこに書き込んでるお前は何ができるの?
さすがに「パスワード無しで他人のアカウントにログインできる」のには勝てないだろ
少なくともまずファミペイには二段階認証があり
高額チャージの時も暗証番号を求められるし
FamiPay利用をオフに設定するとチャージも支払いも暗証番号を求められるできる
そしてクレカ登録には本人認証サービスが必須だから
サービス開始から今日まではとりあえず不正利用は0件だからな
杜撰すぎるセブンペイと同じと考えるのはどうかと思う
いやそれどころじゃないけど…
今どき中国に発注してたってこんなにアホはやってないぞ
技術者が多いから
QRコード顧客の奪い合い参戦した結果これだからしょうもないわ
セキュリティがザルどころか、むしろバックドアだらけ?w
どの部署だそんなんまともなの
それか公取から電話来たとか?