【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★2
at NEWSPLUS
[1からを表示]
50:名無しさん@1周年
19/07/13 00:19:00.66 lzQpcZ2q0.net
よくこんなのやらかしといて普通に営業してられるな
51:名無しさん@1周年
19/07/13 00:19:36.30 2z9oBil70.net
むしろ実装できてた部分を探した方が早いんじゃないかww
52:名無しさん@1周年
19/07/13 00:19:45.24 FnTS13eT0.net
>>40
前の社長は雇われなのに自分の息子に継がせたがってる疑惑だけで追放されてたのに
今の社長がのうのうと続けてたら酷いとしか言いようないな
53:名無しさん@1周年
19/07/13 00:19:45.40 WRq+B2uu0.net
>>48
すげえバカがやってきたw
まじウケるw
素で言ってんの???
54:名無しさん@1周年
19/07/13 00:19:56.33 p2pA/4Xi0.net
>>44
20世紀中に重要な用途では使用禁止になってる
md5くらいならあるいは
55:名無しさん@1周年
19/07/13 00:20:03.55 3B9EDBpu0.net
SuicaFeliCa最強
56:名無しさん@1周年
19/07/13 00:20:14.95 xq8M2FYb0.net
nanacoもカードに書いている番号でログインできちゃうし
カード盗まれたらどうするんだよ
普通、初回のログインでパスワード設定させるだろ
どんだけ頭が弱い奴がやってんだよ
57:名無しさん@1周年
19/07/13 00:20:26.91 WRq+B2uu0.net
やっぱやめました。ゼロからやり直します。の方が信頼できそうだな。
58:名無しさん@1周年
19/07/13 00:20:33.22 gNxEF4JK0.net
>>44
厳密な意味での可能性ならある。
59:名無しさん@1周年
19/07/13 00:20:39.61 20Y1hLKm0.net
>>30
と聞いて、
ライディーンを思い出した私は50代
60:名無しさん@1周年
19/07/13 00:20:44.85 ccyRnY6a0.net
>>1
> LINEなど5つの外部サービスのIDを使ったログイン
韓国諜報機関が作ったアプリをログインに利用させるとか頭おかしい
61:名無しさん@1周年
19/07/13 00:20:55.74 flMOefYc0.net
>>29
楽天は楽天で2段階認証無いんだよな…payだけではなく通販サイトの時点で
62:名無しさん@1周年
19/07/13 00:21:25.76 WRq+B2uu0.net
>>53 元のパスがしょぼければ回せばいいだけって気付いてないのかな?
64:名無しさん@1周年
19/07/13 00:21:36.07 fOxQkghM0.net
世界よこれが日本コンビニ界の巨人だ
65:名無しさん@1周年
19/07/13 00:21:41.35 k/Q4jvEC0.net
セブンペイオフ
66:名無しさん@1周年
19/07/13 00:22:02.93 0QNkpeev0.net
なんじゃそら
めちゃめちゃや
67:名無しさん@1周年
19/07/13 00:22:08.28 DH1Or18c0.net
>>50
これ思い出したw
URLリンク(i.imgur.com)
68:名無しさん@1周年
19/07/13 00:22:13.86 QGwLz1dj0.net
>>1
やっぱりこれか?
■セブン-イレブン、2018年の全店展開目指して顔認証の実証実験を開始
URLリンク(tech.nikkeibp.co.jp)
>店舗管理端末は従業員の給与や勤怠情報、客の個人情報や会員情報、公共料金の支払い情報といった重要情報を格納する。
各種の決済や荷物の受け取りといったサービスが増えるにつれて、取り扱う個人情報も増えているという。
従来のパスワードを使った認証ではパスワードの紛失や漏洩の恐れがあるため、セキュリティ強化が課題だった。
>顔認証を導入する準備作業は専用プログラムをダウンロードするだけという。
69:名無しさん@1周年
19/07/13 00:22:24.64 v3phziio0.net
>>44
レインボーテーブルでググれ
決済情報取り扱う場合はハッシュにソルトを付加する
70:名無しさん@1周年
19/07/13 00:22:52.69 Nj+aGDLw0.net
7payがここから逆転するにはどうしたらええんや
71:名無しさん@1周年
19/07/13 00:23:01.02 2U8e0aCh0.net
0段階認証かよwwwwwww
72:名無しさん@1周年
19/07/13 00:23:23.70 3B9EDBpu0.net
>>59
未だに韓国とかどーとか言ってライン拒んでる奴いんのか
そういう奴って生きるのめんどいだろw
73:名無しさん@1周年
19/07/13 00:23:28.26 vnGcVpmK0.net
井阪、いつまで逃げまわってんねん
やっぱり、鈴木の足元にも及ばんな
74:名無しさん@1周年
19/07/13 00:23:37.49 7vIdHwBC0.net
>>2
在コの子供部屋おじさんは
ひきこもりでセブンにさえ行けないんだろ?w
75:名無しさん@1周年
19/07/13 00:24:22.38 qfHEXwT60.net
キャッシュレスは自分の財布の安倍忖度化のこと
76:名無しさん@1周年
19/07/13 00:24:50.46 QGwLz1dj0.net
>>1
API がサポート切れの struts1 で、データベースもサポート切れの Oracle Database 10g らしいな。
77:名無しさん@1周年
19/07/13 00:24:59.49 DH1Or18c0.net
>>66
勝手に記録とかされそう
78:名無しさん@1周年
19/07/13 00:25:14.45 iFLHYWmR0.net
オープンIDか
声出して笑っちゃったよ
79:名無しさん@1周年
19/07/13 00:25:17.69 v3phziio0.net
>>70
アカウント乗っ取り被害が出てる時点で
LINEもFacebookも認証に使うべきじゃないよ
それは普通の感覚じゃね
よくドロボー入られる家と同じ鍵付けるとかバカだろ
80:名無しさん@1周年
19/07/13 00:25:49.27 Exw57WhS0.net
しかし、ここまで大きな問題が出てないLINEや楽天って
5chにバカにされてたけどすごい技術力があったんじゃ
81:名無しさん@1周年
19/07/13 00:26:56.09 de1AFSAU0.net
まだ止めないの?
契約した人、ご愁傷様。
82:名無しさん@1周年
19/07/13 00:26:56.64 LgFXMap20.net
>>26
この記事で、基本、独自開発をやめて、まるなげしたって話だものな。
なんとかペイシリーズの決済を一斉に導入したわけだし、
将来的には、個人間決済、セブンペイもこのシリーズの仲間いり、相互提携までかんがえていただろうし。
いっしょに天下とりましょうよ、と提案されて、ハンコおしちゃったかんじなんでないの。
セブンIDの基幹のシステムとは別物、別会社にみえる。
83:名無しさん@1周年
19/07/13 00:27:01.14 L3ErpUNc0.net
元をたどれば消費税増税するためにコード支払いに税金投入してる政府のせい
84:名無しさん@1周年
19/07/13 00:27:17.93 vnGcVpmK0.net
>>35
ADIオーバーするわ
85:名無しさん@1周年
19/07/13 00:27:53.59 MSlJg6XG0.net
>>41
カネがあっても担当者が業務のキモを知ってる訳では無いからな。
恐らく2段階認証だって提案されてもやらなくても大丈夫だから削れって言われたんだろ。
上の人も書いてるけど流通系の考え方は「1円でも安い方を使えば良い、業者は契約で縛れば良い」だから。
クラッカーには全く通用しないけど。
セブンイレブンの依頼に合わせて作った結果がコレ。ベンダーの技術力云々の問題では無いと思う。
86:名無しさん@1周年
19/07/13 00:28:09.97 88X7lHUU0.net
駄目だこりゃ。
再建はできないやろうな。
87:名無しさん@1周年
19/07/13 00:28:17.16 SJ6AFS6X0.net
超親切設計
88:名無しさん@1周年
19/07/13 00:28:38.08 WRq+B2uu0.net
新しいサービスは半年くらい放置して様子見た方がいいな
中がどうなってるかなんてわかりにくいし
89:名無しさん@1周年
19/07/13 00:28:41.66 gNxEF4JK0.net
>>74
Struts1はやべえな
90:名無しさん@1周年
19/07/13 00:28:45.86 WZx4Ht+10.net
逆にちゃんとしてた部分はあるの?
91:名無しさん@1周年
19/07/13 00:29:03.97 MSlJg6XG0.net
>>52
お決まりの小泉ガーを連呼して草生やして必死だな
使えないバカの典型だわ
92:名無しさん@1周年
19/07/13 00:29:14.78 24AbS8yU0.net
オムニ7とかnanacoとかも大丈夫かな?
93:名無しさん@1周年
19/07/13 00:29:58.86 WRq+B2uu0.net
>>89
連呼なんかしてないけどなあ
幻覚を見てるのかなあ
キチガイ低学歴怖い怖い
こういう奴がシステムわかってねえーんだよなあ
94:名無しさん@1周年
19/07/13 00:30:06.73 /f7/pOw90.net
>>10
だよな
95:名無しさん@1周年
19/07/13 00:30:21.05 ta5JG5wP0.net
世界初のキャッシュロスサービスだぞ喜べお前ら
96:名無しさん@1周年
19/07/13 00:30:34.87 xq8M2FYb0.net
セブンイレブンの弁当は劣化してるぞ
20年前はもっと食えたが最近のは劣悪すぎる
なんで改善していかずに退化するんだよ
97:名無しさん@1周年
19/07/13 00:30:37.40 de1AFSAU0.net
セキュリティホール発覚しても、穴塞がないままで動かし続けてるとこが一番信頼できない。
ここの判断は7-11側だろ。
98:名無しさん@1周年
19/07/13 00:30:37.62 Exw57WhS0.net
nanacoあるんだから無理する必要なんかなかったんや
Appleに土下座してApple Payでnanaco使えるようにすればいいだけだったのに
99:名無しさん@1周年
19/07/13 00:30:48.67 3gz2sJoe0.net
これってハニートラップだよな、な?
100:名無しさん@1周年
19/07/13 00:30:51.56 qfHEXwT60.net
オープンIDとか信用してなかったから
どのサイトでも固有のIDしか使わなかった
俺には先見の明がある
101:名無しさん@1周年
19/07/13 00:31:26.79 WRq+B2uu0.net
>>83
なんだ
テメエで言ってること矛盾してんのか
笑かすわ
102:名無しさん@1周年
19/07/13 00:31:31.72 kP1DUZm+0.net
店子への締め付けばっか一生懸命でなにやってんだよ
103:名無しさん@1周年
19/07/13 00:32:01.40 DvEX1dgu0.net
>>5
それだよな
104:名無しさん@1周年
19/07/13 00:32:19.42 /SXGaDa20.net
>>5
これだ!
ポンタに移る気マンマンやで
105:名無しさん@1周年
19/07/13 00:32:23.85 OKMVdojS0.net
>>44
オンラインにある場合は辞書アタックできないけど、ハッシュ化したのが入手できた時点で辞書アタックできるようになる
あと暗号方法の脆弱性が分かってビット数分の堅牢性がないことが後でわかったりとかいうのもある
106:名無しさん@1周年
19/07/13 00:32:25.52 IcqkjJuK0.net
>>10
だな
107:名無しさん@1周年
19/07/13 00:33:49.90 VeF
108:Q882g0.net
109:名無しさん@1周年
19/07/13 00:34:16.56 o0dWQdYk0.net
ナナコポイント従来に戻しておくれ
110:名無しさん@1周年
19/07/13 00:34:41.08 iFLHYWmR0.net
>これとは別に
の後も大笑い
開放的ww
111:名無しさん@1周年
19/07/13 00:35:58.59 kGr0xvEf0.net
パスワードなしでログインできるとか新しいな
セブンが初じゃねw
112:名無しさん@1周年
19/07/13 00:36:39.96 Nj+aGDLw0.net
nanacoは7payのために還元率0.5%に改悪したんだっけ
7payって誰一人得してなくて笑う
113:名無しさん@1周年
19/07/13 00:36:42.84 iFLHYWmR0.net
こないだのどこだっけパスワード無限トライできるやつ
あれより穴だらけって
114:名無しさん@1周年
19/07/13 00:37:18.12 Eo9JOvgt0.net
>>67
sha256でもソルトつけるん?
115:名無しさん@1周年
19/07/13 00:37:24.38 hDyvs04S0.net
クレカと紐付けるのはやっぱ危険だよな。
クレカ会社からクレーム来ないのかな?
116:名無しさん@1周年
19/07/13 00:37:27.71 snI+6Oy70.net
ポジティブに考えれば、逮捕歴のある外国人はビザ取得が厳しくなるから、悪い外国人が少しでも逮捕出来たと言うことで。
117:名無しさん@1周年
19/07/13 00:38:14.52 WRq+B2uu0.net
ソルト付いてようがパスがしょぼければダメダメ
118:名無しさん@1周年
19/07/13 00:38:29.48 0BIzzYNg0.net
>>111
パスワード用ならつけない理由がないだろ
119:名無しさん@1周年
19/07/13 00:38:41.47 Eo9JOvgt0.net
>>78
派遣にやらせてる割合はすくなそうやな
あと上が知識ある
120:名無しさん@1周年
19/07/13 00:39:40.05 Eo9JOvgt0.net
>>114
だよな
121:名無しさん@1周年
19/07/13 00:39:56.90 Hz0MP3Co0.net
>>74
15年ぐらい前にそんな環境で開発したな
まじな話なら色々ヤバイだろw
122:名無しさん@1周年
19/07/13 00:40:01.08 GzhVaUiX0.net
システム、中国人に丸投げしたんだろ。
123:名無しさん@1周年
19/07/13 00:40:10.65 NCGE3afN0.net
ハッシュ化は普通bcryptとか使うんだろうけど、7ならmd5で完璧なセキュリティだと思ってそう
124:名無しさん@1周年
19/07/13 00:40:14.55 xH/xopxm0.net
セブン株さすがに暴落してるんか?
125:名無しさん@1周年
19/07/13 00:40:22.55 8s7Lub8w0.net
コンビニはamazonあたりに瞬殺されそうだな
126:GGG48&S&B&Apple-DoCoDeMo
19/07/13 00:40:59.87 bLvkXQ1u0.net
ゴキブラミングのゴキブリッショナル集団、GGG48にでもやらせりゃ良かったのに
こんなのお茶の子さいさいよ♪
ワンパックでどっかに固まって移動でもしてるんだろうからその都度雇えばよろしおす
127:名無しさん@1周年
19/07/13 00:41:03.50 QGwLz1dj0.net
>>1
ハッシュを復元されて使用禁止されてるMD5やSHA1なんかを暗号化に使ってたのか?
128:名無しさん@1周年
19/07/13 00:42:26.20 UXAqmpff0.net
責任者がちゃんと責任取るかどうかなんだけど。
結局、だれも責任取らないだろうね。
129:名無しさん@1周年
19/07/13 00:42:35.10 eOufadPN0.net
どこのSIerが開発したの?
130:名無しさん@1周年
19/07/13 00:42:48.26 Bwl/8GFM0.net
こういうのってはんしゃに貢ぐ為にやってるんじゃないかとさえ思うよな?何回もやってるんだから想定できるはずなのに。
131:名無しさん@1周年
19/07/13 00:43:33.77 h3XoMOkN0.net
いわゆるOAuthだよね
なんでハッシュ化されたサーバ側のパスワードからユーザーが入力するパスワードが復号できるの?
132:名無しさん@1周年
19/07/13 00:43:38.10 ioYjvjY40.net
お笑い7ペイ
133:名無しさん@1周年
19/07/13 00:43:54.77 SmOIE/WZ0.net
>>121
株価はここ三ヶ月での高値圏
今日も上がってた
134:名無しさん@1周年
19/07/13 00:44:06.70 v3phziio0.net
>>110
パスワードロックかけるのはそれほど大変ではないが
ロック解除のシステムを作らなきゃならなくなる
ロック解除のシステムは、客からのロック解除の要求に
速やかに、かつセキュアに対応しな
135:ッればならないから、 わりかしお金がかかるのよ だからロックかけることを渋るクライアントが多い オンラインバンクなんかだと、 パスワードロック解除はコールセンター対応で しかも24時間対応 銀行様はやっぱそれなりにシステムに金かけてるんだよなー
136:名無しさん@1周年
19/07/13 00:44:54.62 WZx4Ht+10.net
新しいライフスタイル、口座シェアリング
137:名無しさん@1周年
19/07/13 00:45:08.21 TyBx21wW0.net
認可まわりの設計がタコでトークンが漏れている
ハッシュがどうとかは本質的な話ではない
138:名無しさん@1周年
19/07/13 00:45:12.32 AIQXhwuF0.net
ハッシュ流出とか意味分からんのだが
2000年以前の話か?
139:名無しさん@1周年
19/07/13 00:45:21.16 Xw8oIfiK0.net
ぼくのおにぎりはだいじょうぶかな
140:名無しさん@1周年
19/07/13 00:45:30.55 6mX/Vpiu0.net
セブン&アイHDの下で、7payは別会社化されている。
既存のカード事業会社とも別会社なので、セキュリ
ティが正しく実装されているかはそっちの会社から
も検証されるはずなんだけどね?
実は名ばかり別会社? 同じフロアで隣で仕事してる感じ?w
141:名無しさん@1周年
19/07/13 00:46:32.92 Eo9JOvgt0.net
>>136
リブラとファミペイがあるから上がせかしたんやろ
142:名無しさん@1周年
19/07/13 00:46:54.81 a21WJQpA0.net
7pays to die
143:名無しさん@1周年
19/07/13 00:46:59.22 Vf7MGkUv0.net
ヤリマン女のマンコみたいにガバガバ❗か❔
144:名無しさん@1周年
19/07/13 00:47:07.92 FxX3xUly0.net
それ脆弱性ってレベルじゃねえだろwww
145:名無しさん@1周年
19/07/13 00:48:05.06 oRpmQfdh0.net
最終的に現金が最強。
146:名無しさん@1周年
19/07/13 00:48:30.34 bdksHPwN0.net
>>3
そらもう世界中から総攻撃よwwwww
147:名無しさん@1周年
19/07/13 00:48:57.58 TLXEKIpF0.net
セブンペイ過去帳入りか
148:名無しさん@1周年
19/07/13 00:49:04.22 eOufadPN0.net
T-pointとか楽天とか
ドコモとかわけわかめ
149:名無しさん@1周年
19/07/13 00:49:32.71 LE5+Ryiy0.net
先に気付いたシナ人(それも喫煙者)どんだけ優秀かって話だな
150:名無しさん@1周年
19/07/13 00:49:34.30 1DWT0VSt0.net
>>136
別会社なのだから、7pay から検証依頼(有料)があればやるでしょ
依頼なしなら、依頼しない 7pay の責任
151:名無しさん@1周年
19/07/13 00:49:42.32 6mX/Vpiu0.net
電子決済史に残るド級のトラブルw
下々の関わった技術者は年取ったら笑い話のネタ。
152:名無しさん@1周年
19/07/13 00:49:53.53 q5hB/gnR0.net
どこが作ったんだろ?
153:名無しさん@1周年
19/07/13 00:50:39.60 v3phziio0.net
>>141
まぁそうなっちまうよな
ネットに繋がることで得られる便利さと
繋がることによるリスク
天秤にかけてきちんと判断した方がいい。
154:名無しさん@1周年
19/07/13 00:50:51.69 h3XoMOkN0.net
なんで他人がapi叩けるの?
urlが分かりやすかったとしても
アイパス普通つけてるし
155:名無しさん@1周年
19/07/13 00:51:04.66 b1IuQekd0.net
オーナーいじめてる場合じゃあなあいよ
156:名無しさん@1周年
19/07/13 00:52:57.50 BauXRP4k0.net
お金を扱う資格無しだろこれは。
一ヶ月や二カ月で、復帰させてはいけない。
157:名無しさん@1周年
19/07/13 00:53:48.20 Bhc8S+Hy0.net
7payを選んでしまった頭の脆弱性
158:名無しさん@1周年
19/07/13 00:53:51.40 TyBx21wW0.net
>>150
どこかでアクセストークンが盗まれている
159:名無しさん@1周年
19/07/13 00:53:58.76 jCrHXJWf0.net
なんかアプリ数回変わってるだろう
ここ半年で
アホかと思うセブン愛ホールディングス
もう会長くびにせえや
160:名無しさん@1周年
19/07/13 00:54:52.74 K7Hx8RsD0.net
ここまで酷いのか…
161:名無しさん@1周年
19/07/13 00:54:53.57 E7tp0Rmt0.net
オムニ7「素人よ、我々に頼れ」
162:名無しさん@1周年
19/07/13 00:56:40.14 1DWT0VSt0.net
>>148
何処が作ったかではなく、発注
163:、(7)の問題 当初計画の開発期間の半分を大きく超えた時点で、 カットオーバー変えずに大規模仕様変更かけるだけで発注側ダメダメ 開発会社が変わったのも、残り開発期間と仕様変更で、 当初の会社が無理判断で降りたんでしょ
164:名無しさん@1周年
19/07/13 00:56:40.58 Nj+aGDLw0.net
セブンに情報渡してる人大丈夫かよこれw
165:名無しさん@1周年
19/07/13 00:56:50.51 TLXEKIpF0.net
間違い無く失敗知識データベース案件だな
166:名無しさん@1周年
19/07/13 00:56:58.74 5Ppxr6V50.net
7の中国人アルバイトが不正使用で捕まってたよな?
間抜けすぎだろ7?(w
167:名無しさん@1周年
19/07/13 00:57:00.72 QZpuKWUQ0.net
>>157
お前のせいだろ(´・ω・`)
168:名無しさん@1周年
19/07/13 00:57:42.96 Vf7MGkUv0.net
株式会社セブン・ペイ(英名:Seven Pay Co., Ltd.)
所在地
東京都千代田区二番町4番地5
代表者の役職・氏名
代表取締役社長 小林 強(こばやしつよし)
(株式会社セブン・フィナンシャルサービス取締役専務執行役員兼務)
個人情報保護管理責任者 管理部
株主及び持株比率
株式会社セブン&アイ・ホールディングス(出資比率40%)
株式会社セブン・フィナンシャルサービス(出資比率30%)
株式会社セブン銀行(出資比率30%)
169:名無しさん@1周年
19/07/13 00:57:56.52 gfDnxpUw0.net
ちゃんと診断してたってのも嘘なんだろうな。当たり前か
170:名無しさん@1周年
19/07/13 00:58:17.98 6mX/Vpiu0.net
>>146
既存カード事業会社のDBである7IDにログインさせてる時点で、自分とこの最重要資産に
アクセスさせているわけだし、ここが正しく実装されていないとデータ取られ放題なので
、既存カード会社側が実装について検証する仕組みがあるのが普通。
171:名無しさん@1周年
19/07/13 00:58:19.33 QGwLz1dj0.net
>>90
ダメだろうね。
ハッシュ化は復元できない別の数字に置き換えるから。
それが出来るってことは復元化が確認されて使用が禁止されたハッシュ関数をわざわざ仕込んでるということ。
全員のパスワードが見えてる。
172:名無しさん@1周年
19/07/13 00:58:21.01 g1o5jI9x0.net
素っ裸pay
173:名無しさん@1周年
19/07/13 00:58:55.03 w6RZiLDx0.net
>>77
LINEpayは寧ろ一番老舗ながら今まで流出ないから安全だぞ
174:名無しさん@1周年
19/07/13 00:58:56.59 hid70w4N0.net
個人で作ったシステムにも劣るな…
一体いくらで作ったんだよ?
175:名無しさん@1周年
19/07/13 00:59:03.44 1DWT0VSt0.net
>>155
先ずは、HDの前に開発責任の 7pay 役員の刷新ですね
7pay の会社自体と潰して、HD直轄にしても良いくらい
176:名無しさん@1周年
19/07/13 00:59:37.79 7MkzUEqT0.net
すげーよなセブンは
オムニ始まった時に登録しようとしたけどなんかヤバそうな雰囲気感じたし
あん時は住所の登録とかは不要だったけどね
177:名無しさん@1周年
19/07/13 00:59:48.29 qEwhkQoN0.net
システム開発丸ごと韓国に丸投げしてそうだなw
178:名無しさん@1周年
19/07/13 00:59:54.41 v3phziio0.net
>>145
巷の噂にしか過ぎないが
セブンのアプリがガバガバだったのは有名で
でもクーポン貰えるくらいのアプリだから
攻撃する価値もないってんで、放置されてた
そのアプリに決済機能乗っけると発表したもんだから
サービスイン直後に攻撃受けたってー話
まぁ噂にしか過ぎん
179:名無しさん@1周年
19/07/13 01:00:05.74 Vf7MGkUv0.net
セブンカード(クレカ)もお前ら用心しとけよ
180:名無しさん@1周年
19/07/13 01:00:38.18 R4StK/lm0.net
運用開始と同時に大量に不正が行われたわけだから、製作段階から犯罪者が入っていたと考えるのが普通だよな
181:名無しさん@1周年
19/07/13 01:01:37.01 1DWT0VSt0.net
>>165
普通に相互連携
182:してるなら、あなたのいう通り でも、7pay から余裕あるタイミングで情報が来なければ対応できない
183:名無しさん@1周年
19/07/13 01:01:44.44 LbQm7LXI0.net
これだからOpenIDは信用ならない
というか作った人このために勉強しました
レベルの人なんじゃないのかな
184:名無しさん@1周年
19/07/13 01:01:55.47 hid70w4N0.net
>>172
711HDなら主体はNだろ、なら忠から中に流れて韓国はほとんど入れない。
185:名無しさん@1周年
19/07/13 01:03:22.40 aFJozhyw0.net
システム作ったのどこだよ
186:名無しさん@1周年
19/07/13 01:03:26.46 6mX/Vpiu0.net
>>175
ザル仕様なことを知った下っ端の土方が、情報流したくらいだろw
下っ端の土方が、オフショアだった可能性はおおいにあるけどw
187:名無しさん@1周年
19/07/13 01:03:42.81 Dv4JA7FU0.net
同時に開始したファミマのペイはそんな話聞かないよな。
もしかしたら、ファミマがペイ開始する事知ったセブンが慌ててペイのシステム作ったからテスト検証せずに運用開始したのかな。
188:名無しさん@1周年
19/07/13 01:04:16.58 4chht7E70.net
なんちゃらpayを使うヤツは情弱
189:名無しさん@1周年
19/07/13 01:04:16.83 QGwLz1dj0.net
>>44
MD5 :2009年にTao Xie、Dengguo Fengによって衝突耐性が破られている (220.96 time)。通常のコンピュータで数秒で可能
SHA-1:2011年にMarc Stevensによって261回の試行で理論上、強衝突耐性を突破[1]。実際の突破には至っていない。
↑
とwikiに書いてあるけど逆変換のサイトがある。
190:名無しさん@1周年
19/07/13 01:05:08.26 KADSJjJv0.net
>>22
カットイン
191:名無しさん@1周年
19/07/13 01:05:25.12 MRMnJ5gk0.net
>>160
畑村先生の新刊のネタができたなw
192:名無しさん@1周年
19/07/13 01:06:04.31 hwep2b3s0.net
「7payは安全アル」
「早くサービス再開するニダ」
193:名無しさん@1周年
19/07/13 01:06:07.60 TtCm7s/k0.net
>>177
欧州ではあんなの使わず政府が保証するIDを使ってもらおうとしている
こっちの方が正しいな
194:名無しさん@1周年
19/07/13 01:06:36.10 h3XoMOkN0.net
>>154
詳しそうなので教えて下さい
ほかのアプリの情報まで漏れたってフェイスブックのパスワードとかってこと?
195:名無しさん@1周年
19/07/13 01:06:53.75 J/kYjiiA0.net
やめちまえ!!
セブンの役員一人くらい責任とって辞めろ!
196:名無しさん@1周年
19/07/13 01:07:00.82 v3phziio0.net
>>168
「アカウント乗っ取りが起きてるサービスを
他サービスの認証に使うべきじゃない」
意味わかるか?
LINEぺいで漏洩起きてるか起きてないかは関係ない
197:名無しさん@1周年
19/07/13 01:07:09.60 r+OMxO6j0.net
>>183
逆変換が分かったからって突破はできないでしょ
198:名無しさん@1周年
19/07/13 01:07:16.90 UlljUNBP0.net
>>174
セブンのクレカはPCI DSS準拠してるんで、厳格なQSA審査して認定されてるから大丈夫!のはずw
199:名無しさん@1周年
19/07/13 01:08:26.40 35vvZU4z0.net
やっぱopenIDシステムは絶対使わないようにしよう
どっかザルだったら全部不安になるじゃん
200:名無しさん@1周年
19/07/13 01:08:26.48 aFJozhyw0.net
過密で登録できなかった人は助かったな
201:名無しさん@1周年
19/07/13 01:08:38.12 b5Vxwjwa0.net
日本が突然Pay地獄化したのはソフトバンクのハゲのせい
202:名無しさん@1周年
19/07/13 01:08:50.91 zaPmFt9E0.net
しかしハッカーはよく見つけるな
その知識を他に使えんのかw
203:名無しさん@1周年
19/07/13 01:09:23.11 hwep2b3s0.net
>>173
>セブンのアプリがガバガバだったのは有名で
>でもクーポン貰えるくらいのアプリだから
あ、それはどっかの板で聞いたな
セブンイレブンなんか(あえて)使わないからふーんぐらいに思ってたがまさかここまで酷いとは
204:名無しさん@1周年
19/07/13 01:09:40.92 VKo8/IXl0.net
簡単やね
205:名無しさん@1周年
19/07/13 01:09:49.12 h3XoMOkN0.net
>>177
openidを使ったサービスベンダーの中にアホが混じってると他の例えばフェイスブックとかのパスワードも漏れるってこと?
206:名無しさん@1周年
19/07/13 01:09:51.18 UlljUNBP0.net
>>196
ペンテストに使う
207:名無しさん@1周年
19/07/13 01:09:52.53 lrCa5Hn40.net
7時から11時の初心に還るべきだろう
208:名無しさん@1周年
19/07/13 01:09:57.40 Eo9JOvgt0.net
>>193
クーポンでるだけのアプリとかならつけた方がいいとおもうぞw
209:名無しさん@1周年
19/07/13 01:11:41.55 TyBx21wW0.net
>>188
facebookはSSOに使っているだけでトークンは7用のもの
トークンさえ手に入れれば7のAPIは好きなだけアクセスできる
210:名無しさん@1周年
19/07/13 01:11:59.29 35vvZU4z0.net
>>201
はい契約違反
211:名無しさん@1周年
19/07/13 01:12:26.39 2Y8I8JGy0.net
脆弱性てんこもりの7payだが、しかしそんなの大騒動するほどのことじゃない
Pay決済戦国時代に「戦わずして戦死したPay」と言うだけ
どうせ誰も使ってないし、これからも誰も使わない
7Payが無くてもPay戦国時代はすでに飽和状態だ
話題にするだけ無駄
212:名無しさん@1周年
19/07/13 01:12:29.36 v3phziio0.net
>>199
例えのそのFacebookが
一番大量のダダ漏らししてる気が……
213:名無しさん@1周年
19/07/13 01:12:55.05 /lVQ0xfs0.net
ハッシュの逆変換とかMD5とかならネットにすら転がってるレベルだし
他のハッシュも桁数だけの問題で複合可能なのは常識だろ
作ったやつどんだけ素人なんだよ
214:名無しさん@1周年
19/07/13 01:13:32.95 e90bOp1j0.net
そもそもアカウント連携なんて情弱が使うシロモノだからな
215:名無しさん@1周年
19/07/13 01:13:56.81 mA0Vwm2+0.net
ペイペイって登録してない人のクレジットカードが割られる脆弱性があったじゃん?
7payはそれないの? あくまでも会員だけの被害?
216:名無しさん@1周年
19/07/13 01:14:09.86 IWh0HLb50.net
それ欠陥だろ
217:名無しさん@1周年
19/07/13 01:14:33.15 H3mjRX8G0.net
あの社長はまだ生きてるのか?
意外にしぶといのか鈍感なんだな
218:名無しさん@1周年
19/07/13 01:14:40.05 ZF1q4rgF0.net
こんなんハッキングしてもチャレンジしたことが恥になるレベル。
219:名無しさん@1周年
19/07/13 01:14:56.81 /lVQ0xfs0.net
>>212
ほんまそれ
220:名無しさん@1周年
19/07/13 01:14:57.23 ktFenJgx0.net
まさかセブンイレブンがぶっつぶれるとはな
221:名無しさん@1周年
19/07/13 01:15:53.41 h3XoMOkN0.net
>>203
なんとなく分かりました
セブンのpassと他のサービスも同じのを使ってる的な発想で攻撃できるってことですかね
222:名無しさん@1周年
19/07/13 01:17:00.37 h3XoMOkN0.net
>>206
確かに
パスワードほとんど同じだから変えないと
223:GGG48&S&B&Apple-DoCoDeMo
19/07/13 01:17:08.48 bLvkXQ1u0.net
>>195
そのハゲに雷雷公社売って氏ぬまで楽勝モード決め込んだ
N/I率いるGGG48が一番の根っ子
224:名無しさん@1周年
19/07/13 01:17:17.29 CAIo4oRm0.net
>>2
ってかこのシステム組むのに韓国企業が関わったんじゃね?w
225:名無しさん@1周年
19/07/13 01:18:03.15 YFvdyy4T0.net
無防備紐付け
226:名無しさん@13周年
19/07/13 01:20:27.80 9Dl64tbxY
もうネットで決済する時代は終わるだろ
ポイントだけにしとけよ
227:名無しさん@1周年
19/07/13 01:19:40.96 FqHU0EjR0.net
笑えるぐらいセキュリティー的にザルでダメダメな7payって
ギャグか何かでやってるのかと思わせるレベル。
228:名無しさん@1周年
19/07/13 01:20:12.53 v3phziio0.net
>>197
クーポン配る程度のアプリにそんな予算は割けないのはわかる
扱う個人情報ランクも低いし決済もしないのだから
ざっくり作ってもいいよなぁ〜って話になるのもわかる
人月安い会社使ってサクッと作らせるのもわかる
問題はその「クーポン配る程度のアプリ」に
決済機能くっつけちゃったことだなぁ
229:名無しさん@1周年
19/07/13 01:20:18.06 g1o5jI9x0.net
ハッシュ化されたパスが取得できるということは、
直接それ使ってすべての操作ができちゃうんじゃないの
ごっそり持ってかれてるだろ
230:名無しさん@1周年
19/07/13 01:20:22.40 FhZ0Bx0D0.net
>>24
なんで肩持つの?徹底的に攻めろや?
231:名無しさん@1周年
19/07/13 01:20:42.00 IQzKJUzY0.net
中国から毎日のように狙われて漏れてるってのに
ネットワークのセキュリティなんて無いようなもんだぞ
まだやめとけほんとに
232:名無しさん@1周年
19/07/13 01:21:20.23 +14IMNLE0.net
JRさん、チャンスだぞ。
233:名無しさん@1周年
19/07/13 01:22:32.20 h3XoMOkN0.net
>>225
俺の運用してるさくらサーバでさえ毎日攻撃されてる
なんの情報もないのに
234:名無しさん@1周年
19/07/13 01:22:35.22 TyBx21wW0.net
>>223
画面から生のパスワード入れてハッシュ関数にかけたものをDBの値と比べるので
ハッシュ値が直接使えるわけではないよ
辞書攻撃で当たり引かれる危険は増えるが
235:名無しさん@1周年
19/07/13 01:22:52.59 QGwLz1dj0.net
>>145
何年も前から気付かれてたけど当時はポイントつけるだけで無視されてたアプリに7payがついて銀行と直結することが2019年4月4日決算説明会で7月リリース予定と発表された。
URLリンク(www.google.com)
犯罪者は大喜びだったろうね。
236:名無しさん@1周年
19/07/13 01:23:40.09 tSP/Rsf40.net
さすがにこれはセブンかわいそうw
下請け業者に騙されたんじゃないw
237:名無しさん@1周年
19/07/13 01:24:59.28 kjy4RhJZ0.net
>>190
LINEを認証に使ってるサービスなんざいくらでもあるかはそれは言い訳に過ぎん
2段階認証やらセキュリティサービスを怠ったのが原因
238:名無しさん@1周年
19/07/13 01:25:11.40 bSw4j3jN0.net
ガバガバだね
239:名無しさん@1周年
19/07/13 01:25:32.70 trgZOL9SO.net
セブンイレブンの仕様発注だろ
240:名無しさん@1周年
19/07/13 01:25:48.46 MnHn50010.net
セブンイレブン♪良い気分♪(犯罪者限定)
241:名無しさん@1周年
19/07/13 01:25:51.59 dQ+8DFIv0.net
ローワン・アトキンソンのジョーニーイングリッシュがしそうなミス
242:名無しさん@1周年
19/07/13 01:26:19.83 V71D3aaO0.net
てかなんで、もともとクーポン出したりキャンペーンとかの宣伝するためのアプリに決済機能を追加したんだろ。
243:名無しさん@1周年
19/07/13 01:26:56.25 +1tmVAzj0.net
韓国に対して 物言う吉本芸人を排除したがっている芸能界とマスコミの在日チョン勢力の手管が卑しすぎる!
ヤクザバーニングみたいなチョン系のヤクザ事務所のタレントこそ排除しよう!
ヤクザバーニングの庭の演歌界こそ、もっとも反社と強く繋がっているのに、一向に演歌界に飛び火しないどころか、吉本叩きの様相を呈してきてて、不自然すぎる!
演歌歌手がヤクザと写ってる写真なんて腐るほどあるだろ!
国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室のバックのヤクザバーニングを叩き潰そう!
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
醜悪な引退商法して無様に芸能界から逃げ出した負け犬安室のバックのヤクザバーニングを業界から完全に干しましょう。
メディアや芸能界が反社会勢力と繋がっているのが許される時代ではありません。バーニング系と癒着しているメディアの人間もどんどん逮捕していかないと
ヤクザバーニングは北朝鮮系です
あいみょんや新垣結衣や羽鳥慎一や北
244:コ一輝といったヤクザバーニングのタレントを二度と起用させないようにしていきましょう ↓ http://www.officiallyjd.com/archives/430854/ 宮根誠司、羽鳥慎一らが所属するバーニング系列事務所の黒い噂…肉弾接待、枕営業、所属タレントらも関与か http〇s://hay〇abus〇a9.5〇ch.net/test/read〇.cgi/mnewsplus/1559599625/ 【俳優】北村一輝はなぜ韓国「反日映画」出演を決めたのか? htt〇ps:/〇/ww〇w.excite.co.jp/news/article/Cyzo_201504_post_18343/ 「“芸能界のドン”は宅見組長が育てた」バーニング周防郁雄社長と暴力団“黒い交際”暴く衝撃ブログ エイベックスもヤクザバーニング系です。エイベックスのトップの松浦の暴力団を使った脅迫行為など上場企業のトップとして決して許されません ↓ https://www.excite.co.jp/news/article/Litera_2781/ エイベックスの問題はブラック労働だけじゃない! 金、パワハラ、暴力団を使った恐喝...背景に松浦社長の体質が 業界でもっとも黒い事務所と言われているライジングもバーニング系です。 ヤクザライジングのタレントを起用させないようにメディアを監視していきましょう!! 特にヤクザライジングと癒着が酷い日テレ関係者を逮捕に追い込んでいきましょう! ↓ http〇s://noma66.co〇m/womantalent/1743/ 西内まりやの元事務所ライジングの闇!脱税やヤクザの悪評に圧力の黒い噂?! . . 【芸能】佐藤浩市が難病の安倍総理を揶揄し炎上 ネット「ダサい人…」「脚本を変更させ反体制気取ってる頭の悪さに驚いた」 ★4 売国左翼の佐藤浩市を起用している反日企業を叩き潰そう! 佐藤浩市を起用している反日企業はこの三社です ↓ CM キャノンマーケティングジャパン CM 三井住友信託銀行 CM コカ・コーラ『特選 綾鷹』 50+895967957
245:名無しさん@1周年
19/07/13 01:27:57.01 g1o5jI9x0.net
>>228
いや普通はそういう仕組みなのはわかってる
が、
> さらにハッシュ化されたパスワードまで取得できたという。
つまり通常は照合するときに参照するだけのはずが、現実に呼び出されてしまってるわけ
ハッシュ化に何の意味も無くて、生のパスを保存して呼び出せるシステムと何の変わりも無い仕様じゃないのこれ、
ということ
246:名無しさん@1周年
19/07/13 01:28:03.04 v3phziio0.net
>>231
横から首突っ込むならせめて話の流れくらい読もうな。
247:名無しさん@1周年
19/07/13 01:28:47.97 /lVQ0xfs0.net
>>236
今あるこれをコネコネすれば使えるだろ、安上がりだしの精神
セキュリティとか全く考えられてないよ
248:名無しさん@1周年
19/07/13 01:28:48.86 zcxJ7Dsa0.net
(´・ω・`)7つの穴が開いてるpay略して7pay
249:名無しさん@1周年
19/07/13 01:29:08.94 +1tmVAzj0.net
5chは既に在日チョンに買収されているのをご存知ですか?
↓
URLリンク(irohamatumae.blog.jp)
2chの譲渡先、5chの代理人弁護士は通名のしばき隊員
【民主党=立憲民主党の正体】
韓国民団生野支部での民主党議員の挨拶【在日参政権を約束】
URLリンク(www.nicozon.net)
菅 直人(民主) 日本人拉致犯 シンガンス釈放署
250:名 江田五月(民主) 日本人拉致犯 シンガンス釈放署名 千葉景子(民主) 日本人拉致犯 シンガンス釈放署名 岡田克也(民主) 「拉致被害者を北朝鮮に戻すべき」と主張 岡崎トミ子(民主) 慰安婦への謝罪と賠償法案 8回提出 福山哲郎(民主) 陳哲郎 白眞勲 (民主) 元韓国籍 土肥隆一(民主) 朝鮮京城に出生 中井洽 (民主) 吉林省長春に出生 辻元清美(民主) ピースボート創設(北朝鮮組織) 辻元清美(民主) 「私は国家の枠を崩壊させる国壊議員」 有田芳生(民主) 嫌韓デモの法規制 「ネットで書いたら逮捕!」 末松義規(民主) 「在日朝鮮人に選挙権を与えよう!」 角田義一(民主) 朝鮮組織から献金 2500万闇献金疑惑 前原誠司(民主) 「外国人参政権を成立させる」と民団で約束 安住 淳 (民主) 大震災の年に「韓国に5兆円支援」の財務大臣 山岡賢次(民主) (「金賢二」、通名は「金子賢二」、後に「藤野賢次」→「山岡賢次」) . . 20626301.1364654
251:名無しさん@1周年
19/07/13 01:29:38.31 tSP/Rsf40.net
>>236
消費税上がってからあとのポイント貯めるアプリにするんじゃないの?
カードをスマホアプリに登録させて決済までさせてポイント還元
するのでは?
他のところも最近既存のカードだけからアプリとカードの
紐づけ導入してる。
252:名無しさん@1周年
19/07/13 01:30:29.37 prra/lxa0.net
社内情シスの俺がSQLServerExpress(無料版)+クライアント側AccessRuntime(VBA)
で作った業務アプリの方がマシなレベル
253:名無しさん@1周年
19/07/13 01:30:41.00 zaPmFt9E0.net
担当SE大変だな
今まさにこの時間も徹夜で作り直ししてるんだろうかw
254:名無しさん@1周年
19/07/13 01:32:11.09 TyBx21wW0.net
>>245
どう作り直せばいいのかわからずに頭抱えているかもな
255:名無しさん@1周年
19/07/13 01:32:36.24 In1W1ACK0.net
>>244
ガチでそのほうがマシなレベルかと
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
1553日前に更新/233 KB
担当:undef