【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★2
at NEWSPLUS
1:サーバル ★
19/07/12 23:58:53.54 Q2aYQduP9.net
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
URLリンク(tech.nikkeibp.co.jp)
★1 :2019/07/12(金) 21:54:11.59
※前スレ
スレリンク(newsplus板)
2:名無しさん@1周年
19/07/12 23:59:22.59 qApWwdHX0.net
やっぱIT先進国の韓国に頭を下げて教えを請わないとダメだね
3:名無しさん@1周年
19/07/13 00:00:15.86 rlEV5CZ50.net
新米ハッカーの練習台みたいになってるな
4:名無しさん@1周年
19/07/13 00:00:44.47 l0mT5mRc0.net
どこのバカの設計だ?
どこのバカの実装だ?
5:名無しさん@1周年
19/07/13 00:02:16.73 6jvfD0ze0.net
nanacoのポイント率を戻せ
6:名無しさん@1周年
19/07/13 00:02:45.52 VwexEtUZ0.net
>>2
スーパーハッカーの北朝鮮に瀬取りというアナログ手法で媚びをうる韓国?
7:名無しさん@1周年
19/07/13 00:02:50.94 l5JRACTs0.net
もう史上最低レベルじゃね
8:名無しさん@1周年
19/07/13 00:02:52.66 /WFY30zO0.net
ケンチャナヨ
9:名無しさん@1周年
19/07/13 00:03:25.75 1kc/T5ym0.net
さあ金融庁はいつまで黙って要られるか
イオン金融事業のシステム開発難航、トラブル続出で出口見えず
毎回この有様
URLリンク(www.aeonbank.co.jp)
日割り計算機能事実上無いのに金融庁認可しちゃったからな
参考資料
URLリンク(tech.nikkeibp.co.jp)
10:名無しさん@1周年
19/07/13 00:03:57.44 iRPIJ9JO0.net
っていうか
セブン以外のペイも絶対に使わない
Suicaで十分
11:名無しさん@1周年
19/07/13 00:04:34.09 q1PDRxal0.net
セブンペイ
全部ペイ
12:名無しさん@1周年
19/07/13 00:05:26.99 qSfEjFS80.net
キャッシュレスとは、財布に穴をあけることとみつけたり
13:名無しさん@1周年
19/07/13 00:06:26.68 TyBx21wW0.net
踏み台の詐欺サイト経由で認可コード横取りされたんじゃね
14:名無しさん@1周年
19/07/13 00:06:27.55 q1PDRxal0.net
だからローソンにしとけとあれほど
15:名無しさん@1周年
19/07/13 00:06:41.53 iaeAIFJw0.net
集金PAYの魔の手
16:名無しさん@1周年
19/07/13 00:08:08.91 ti/5xw5j0.net
まじで素人が作っているようだな
17:下総国諜報員
19/07/13 00:08:16.26 7fbpMqDm0.net
下を叩くだけでいい企業は潰れたらいいよ。
いくらサービスが良くても、穢れたサービスなんて胸糞。
18:名無しさん@1周年
19/07/13 00:08:52.63 W2exIBa80.net
セブン、終わりの始まりだな。
19:名無しさん@1周年
19/07/13 00:09:03.31 S+J6acxJ0.net
忘れたパスワードを任意のメールアドレスに送ってもらえるとか?
20:名無しさん@1周年
19/07/13 00:09:39.17 BlzInBFB0.net
これは外部IDでログインしているユーザーがどう気をつけていてもしょうがないな
21:名無しさん@1周年
19/07/13 00:09:59.28 H5GzQV9h0.net
散々pay押ししてた特アの在日共が
被害にあって火病らねーかな
22:名無しさん@1周年
19/07/13 00:10:48.95 s7/Q3sda0.net
これをログインと呼んでいいのか
23:名無しさん@1周年
19/07/13 00:10:54.02 +vNCGoPp0.net
おにぎりにつられた馬鹿ざまぁ
24:名無しさん@1周年
19/07/13 00:11:25.04 1DWT0VSt0.net
>>16
責任は発注者(7)だよ
作った現場の大工はプロ
25:名無しさん@1周年
19/07/13 00:11:35.25 e4cxvjU80.net
>>21
それ金盗むためにオススメしてたんだろ
26:名無しさん@1周年
19/07/13 00:11:57.72 KGbdpi8+0.net
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か | BUSINESS INSIDER JAPAN
※年末に「開発仕様」と「開発業者」が変更
URLリンク(www.businessinsider.jp)
27:名無しさん@1周年
19/07/13 00:12:02.33 GRYnt0Uu0.net
みんな楽天ペイ導入しろよ
大手で使う気になって国内資本で今のところ問題起こしてないのここだけだろ
バーコードは楽天ペイ、FelicaはSuica
これが一番便利だからスタンダードになってくれ
28:
19/07/13 00:13:08.07 iIj/CBHW0.net
大爆笑。ガッバガバ〜!
29:名無しさん@1周年
19/07/13 00:13:17.40 e4cxvjU80.net
>>27
何かそういや楽天初期の頃に店の人が楽天はセキュリティが強固とか言ってたな
あれはホントだったのかな
30:名無しさん@1周年
19/07/13 00:13:21.08 MRMnJ5gk0.net
>>22
フェードイン?
31:名無しさん@1周年
19/07/13 00:14:00.97 XHLBJoA60.net
2年か3年前にセブンのATMから18億円が。
何か関連があるのかね
10%になってもポイントのためにカードなんか使わない 俺は
32:名無しさん@1周年
19/07/13 00:14:10.61 Nj+aGDLw0.net
Apple PayにSuicaとQUICPay入れてあるけどこれで十分だわ
33:名無しさん@1周年
19/07/13 00:14:32.23 l0mT5mRc0.net
>>29
現在、突貫工事中かも
34:名無しさん@1周年
19/07/13 00:14:36.90 EUxHs/Pk0.net
何人の担当者のクビが飛ぶの?
つか、日本大丈夫?こんな事ばっかりで
35:名無しさん@1周年
19/07/13 00:15:08.26 YYD5xri90.net
詫びおにぎり100個よこせよ
36:名無しさん@1周年
19/07/13 00:15:24.39 v3phziio0.net
>>27
FeliCaとクレジットカードで充分かなと思ってる
コード決済は普及してもしなくても多分使わない
37:名無しさん@1周年
19/07/13 00:16:07.62 WRq+B2uu0.net
>>34
もう無理じゃないかなあ
派遣認めた時点で終わった
38:名無しさん@1周年
19/07/13 00:16:11.46 z1QdfYeK0.net
まぁたぶん政府の工作だなw
被害者は政府の広報員ww
39:名無しさん@1周年
19/07/13 00:16:31.61 ghlkD5L60.net
ナナコ
40:でいいじゃん あれ便利だぞ
41:名無しさん@1周年
19/07/13 00:16:45.58 EmjYd2qv0.net
>>34
誰も責任を取らないのが日本。
まずは、社長以下取締役どもが、
株主代表訴訟の餌食にならんと。
42:名無しさん@1周年
19/07/13 00:16:46.93 FnTS13eT0.net
金はいくらでもあったのによくこんなクソな仕事できたなあ
誰も止める人がいなかったのか
43:名無しさん@1周年
19/07/13 00:16:59.94 Nj+aGDLw0.net
>>36
FeliCa搭載のsimフリー機もっと増えてほしいよなあ
ピクセルは良さそうだけど
44:名無しさん@1周年
19/07/13 00:17:02.12 1DWT0VSt0.net
>>34
このケースの責任担当って、受注した会社のSEやPGでなくて、
急な仕様変更を認可した7側の役員クラスね
45:名無しさん@1周年
19/07/13 00:18:03.85 XlKVHbx20.net
しれっと書いてあるけど、ハッシュ化した暗号から平文に復元なんてできるの?
46:名無しさん@1周年
19/07/13 00:18:26.13 DH1Or18c0.net
>>1
ここの会社ヤバすぎだな
今までも使ってないけど今後はクレカとか重要性高い情報ガチで使わないことにする
楽天やTカードと違って自分が関わる前にボロ出してくれて助かった
47:名無しさん@1周年
19/07/13 00:18:29.14 v3phziio0.net
>>41
セブンは所詮、流通系だからな
セキュリティっつー見えないモノに金払いを渋ったんだろう
他人の時間をタダだと思ってるからな奴ら
コンビニオーナーとの争いみててもそう思う
48:名無しさん@1周年
19/07/13 00:18:30.95 6USKH+5m0.net
クレカで十分だな
49:名無しさん@1周年
19/07/13 00:18:46.92 MSlJg6XG0.net
>>37
お前みたいなバカが増えたからだろ。何でも小泉ガーで済ませるバカ。
プログラマなんか元々派遣だバカ。
50:名無しさん@1周年
19/07/13 00:19:00.66 lzQpcZ2q0.net
よくこんなのやらかしといて普通に営業してられるな
51:名無しさん@1周年
19/07/13 00:19:36.30 2z9oBil70.net
むしろ実装できてた部分を探した方が早いんじゃないかww
52:名無しさん@1周年
19/07/13 00:19:45.24 FnTS13eT0.net
>>40
前の社長は雇われなのに自分の息子に継がせたがってる疑惑だけで追放されてたのに
今の社長がのうのうと続けてたら酷いとしか言いようないな
53:名無しさん@1周年
19/07/13 00:19:45.40 WRq+B2uu0.net
>>48
すげえバカがやってきたw
まじウケるw
素で言ってんの???
54:名無しさん@1周年
19/07/13 00:19:56.33 p2pA/4Xi0.net
>>44
20世紀中に重要な用途では使用禁止になってる
md5くらいならあるいは
55:名無しさん@1周年
19/07/13 00:20:03.55 3B9EDBpu0.net
SuicaFeliCa最強
56:名無しさん@1周年
19/07/13 00:20:14.95 xq8M2FYb0.net
nanacoもカードに書いている番号でログインできちゃうし
カード盗まれたらどうするんだよ
普通、初回のログインでパスワード設定させるだろ
どんだけ頭が弱い奴がやってんだよ
57:名無しさん@1周年
19/07/13 00:20:26.91 WRq+B2uu0.net
やっぱやめました。ゼロからやり直します。の方が信頼できそうだな。
58:名無しさん@1周年
19/07/13 00:20:33.22 gNxEF4JK0.net
>>44
厳密な意味での可能性ならある。
59:名無しさん@1周年
19/07/13 00:20:39.61 20Y1hLKm0.net
>>30
と聞いて、
ライディーンを思い出した私は50代
60:名無しさん@1周年
19/07/13 00:20:44.85 ccyRnY6a0.net
>>1
> LINEなど5つの外部サービスのIDを使ったログイン
韓国諜報機関が作ったアプリをログインに利用させるとか頭おかしい
61:名無しさん@1周年
19/07/13 00:20:55.74 flMOefYc0.net
>>29
楽天は楽天で2段階認証無いんだよな…payだけではなく通販サイトの時点で
62:名無しさん@1周年
19/07/13 00:21:25.76 WRq+B2uu0.net
>>53 元のパスがしょぼければ回せばいいだけって気付いてないのかな?
64:名無しさん@1周年
19/07/13 00:21:36.07 fOxQkghM0.net
世界よこれが日本コンビニ界の巨人だ
65:名無しさん@1周年
19/07/13 00:21:41.35 k/Q4jvEC0.net
セブンペイオフ
66:名無しさん@1周年
19/07/13 00:22:02.93 0QNkpeev0.net
なんじゃそら
めちゃめちゃや
67:名無しさん@1周年
19/07/13 00:22:08.28 DH1Or18c0.net
>>50
これ思い出したw
URLリンク(i.imgur.com)
68:名無しさん@1周年
19/07/13 00:22:13.86 QGwLz1dj0.net
>>1
やっぱりこれか?
■セブン-イレブン、2018年の全店展開目指して顔認証の実証実験を開始
URLリンク(tech.nikkeibp.co.jp)
>店舗管理端末は従業員の給与や勤怠情報、客の個人情報や会員情報、公共料金の支払い情報といった重要情報を格納する。
各種の決済や荷物の受け取りといったサービスが増えるにつれて、取り扱う個人情報も増えているという。
従来のパスワードを使った認証ではパスワードの紛失や漏洩の恐れがあるため、セキュリティ強化が課題だった。
>顔認証を導入する準備作業は専用プログラムをダウンロードするだけという。
69:名無しさん@1周年
19/07/13 00:22:24.64 v3phziio0.net
>>44
レインボーテーブルでググれ
決済情報取り扱う場合はハッシュにソルトを付加する
70:名無しさん@1周年
19/07/13 00:22:52.69 Nj+aGDLw0.net
7payがここから逆転するにはどうしたらええんや
71:名無しさん@1周年
19/07/13 00:23:01.02 2U8e0aCh0.net
0段階認証かよwwwwwww
72:名無しさん@1周年
19/07/13 00:23:23.70 3B9EDBpu0.net
>>59
未だに韓国とかどーとか言ってライン拒んでる奴いんのか
そういう奴って生きるのめんどいだろw
73:名無しさん@1周年
19/07/13 00:23:28.26 vnGcVpmK0.net
井阪、いつまで逃げまわってんねん
やっぱり、鈴木の足元にも及ばんな
74:名無しさん@1周年
19/07/13 00:23:37.49 7vIdHwBC0.net
>>2
在コの子供部屋おじさんは
ひきこもりでセブンにさえ行けないんだろ?w
75:名無しさん@1周年
19/07/13 00:24:22.38 qfHEXwT60.net
キャッシュレスは自分の財布の安倍忖度化のこと
76:名無しさん@1周年
19/07/13 00:24:50.46 QGwLz1dj0.net
>>1
API がサポート切れの struts1 で、データベースもサポート切れの Oracle Database 10g らしいな。
77:名無しさん@1周年
19/07/13 00:24:59.49 DH1Or18c0.net
>>66
勝手に記録とかされそう
78:名無しさん@1周年
19/07/13 00:25:14.45 iFLHYWmR0.net
オープンIDか
声出して笑っちゃったよ
79:名無しさん@1周年
19/07/13 00:25:17.69 v3phziio0.net
>>70
アカウント乗っ取り被害が出てる時点で
LINEもFacebookも認証に使うべきじゃないよ
それは普通の感覚じゃね
よくドロボー入られる家と同じ鍵付けるとかバカだろ
80:名無しさん@1周年
19/07/13 00:25:49.27 Exw57WhS0.net
しかし、ここまで大きな問題が出てないLINEや楽天って
5chにバカにされてたけどすごい技術力があったんじゃ
81:名無しさん@1周年
19/07/13 00:26:56.09 de1AFSAU0.net
まだ止めないの?
契約した人、ご愁傷様。
82:名無しさん@1周年
19/07/13 00:26:56.64 LgFXMap20.net
>>26
この記事で、基本、独自開発をやめて、まるなげしたって話だものな。
なんとかペイシリーズの決済を一斉に導入したわけだし、
将来的には、個人間決済、セブンペイもこのシリーズの仲間いり、相互提携までかんがえていただろうし。
いっしょに天下とりましょうよ、と提案されて、ハンコおしちゃったかんじなんでないの。
セブンIDの基幹のシステムとは別物、別会社にみえる。
83:名無しさん@1周年
19/07/13 00:27:01.14 L3ErpUNc0.net
元をたどれば消費税増税するためにコード支払いに税金投入してる政府のせい
84:名無しさん@1周年
19/07/13 00:27:17.93 vnGcVpmK0.net
>>35
ADIオーバーするわ
85:名無しさん@1周年
19/07/13 00:27:53.59 MSlJg6XG0.net
>>41
カネがあっても担当者が業務のキモを知ってる訳では無いからな。
恐らく2段階認証だって提案されてもやらなくても大丈夫だから削れって言われたんだろ。
上の人も書いてるけど流通系の考え方は「1円でも安い方を使えば良い、業者は契約で縛れば良い」だから。
クラッカーには全く通用しないけど。
セブンイレブンの依頼に合わせて作った結果がコレ。ベンダーの技術力云々の問題では無いと思う。
86:名無しさん@1周年
19/07/13 00:28:09.97 88X7lHUU0.net
駄目だこりゃ。
再建はできないやろうな。
87:名無しさん@1周年
19/07/13 00:28:17.16 SJ6AFS6X0.net
超親切設計
88:名無しさん@1周年
19/07/13 00:28:38.08 WRq+B2uu0.net
新しいサービスは半年くらい放置して様子見た方がいいな
中がどうなってるかなんてわかりにくいし
89:名無しさん@1周年
19/07/13 00:28:41.66 gNxEF4JK0.net
>>74
Struts1はやべえな
90:名無しさん@1周年
19/07/13 00:28:45.86 WZx4Ht+10.net
逆にちゃんとしてた部分はあるの?
91:名無しさん@1周年
19/07/13 00:29:03.97 MSlJg6XG0.net
>>52
お決まりの小泉ガーを連呼して草生やして必死だな
使えないバカの典型だわ
92:名無しさん@1周年
19/07/13 00:29:14.78 24AbS8yU0.net
オムニ7とかnanacoとかも大丈夫かな?
93:名無しさん@1周年
19/07/13 00:29:58.86 WRq+B2uu0.net
>>89
連呼なんかしてないけどなあ
幻覚を見てるのかなあ
キチガイ低学歴怖い怖い
こういう奴がシステムわかってねえーんだよなあ
94:名無しさん@1周年
19/07/13 00:30:06.73 /f7/pOw90.net
>>10
だよな
95:名無しさん@1周年
19/07/13 00:30:21.05 ta5JG5wP0.net
世界初のキャッシュロスサービスだぞ喜べお前ら
96:名無しさん@1周年
19/07/13 00:30:34.87 xq8M2FYb0.net
セブンイレブンの弁当は劣化してるぞ
20年前はもっと食えたが最近のは劣悪すぎる
なんで改善していかずに退化するんだよ
97:名無しさん@1周年
19/07/13 00:30:37.40 de1AFSAU0.net
セキュリティホール発覚しても、穴塞がないままで動かし続けてるとこが一番信頼できない。
ここの判断は7-11側だろ。
98:名無しさん@1周年
19/07/13 00:30:37.62 Exw57WhS0.net
nanacoあるんだから無理する必要なんかなかったんや
Appleに土下座してApple Payでnanaco使えるようにすればいいだけだったのに
99:名無しさん@1周年
19/07/13 00:30:48.67 3gz2sJoe0.net
これってハニートラップだよな、な?
100:名無しさん@1周年
19/07/13 00:30:51.56 qfHEXwT60.net
オープンIDとか信用してなかったから
どのサイトでも固有のIDしか使わなかった
俺には先見の明がある
101:名無しさん@1周年
19/07/13 00:31:26.79 WRq+B2uu0.net
>>83
なんだ
テメエで言ってること矛盾してんのか
笑かすわ
102:名無しさん@1周年
19/07/13 00:31:31.72 kP1DUZm+0.net
店子への締め付けばっか一生懸命でなにやってんだよ
103:名無しさん@1周年
19/07/13 00:32:01.40 DvEX1dgu0.net
>>5
それだよな
104:名無しさん@1周年
19/07/13 00:32:19.42 /SXGaDa20.net
>>5
これだ!
ポンタに移る気マンマンやで
105:名無しさん@1周年
19/07/13 00:32:23.85 OKMVdojS0.net
>>44
オンラインにある場合は辞書アタックできないけど、ハッシュ化したのが入手できた時点で辞書アタックできるようになる
あと暗号方法の脆弱性が分かってビット数分の堅牢性がないことが後でわかったりとかいうのもある
106:名無しさん@1周年
19/07/13 00:32:25.52 IcqkjJuK0.net
>>10
だな
107:名無しさん@1周年
19/07/13 00:33:49.90 VeF
108:Q882g0.net
109:名無しさん@1周年
19/07/13 00:34:16.56 o0dWQdYk0.net
ナナコポイント従来に戻しておくれ
110:名無しさん@1周年
19/07/13 00:34:41.08 iFLHYWmR0.net
>これとは別に
の後も大笑い
開放的ww
111:名無しさん@1周年
19/07/13 00:35:58.59 kGr0xvEf0.net
パスワードなしでログインできるとか新しいな
セブンが初じゃねw
112:名無しさん@1周年
19/07/13 00:36:39.96 Nj+aGDLw0.net
nanacoは7payのために還元率0.5%に改悪したんだっけ
7payって誰一人得してなくて笑う
113:名無しさん@1周年
19/07/13 00:36:42.84 iFLHYWmR0.net
こないだのどこだっけパスワード無限トライできるやつ
あれより穴だらけって
114:名無しさん@1周年
19/07/13 00:37:18.12 Eo9JOvgt0.net
>>67
sha256でもソルトつけるん?
115:名無しさん@1周年
19/07/13 00:37:24.38 hDyvs04S0.net
クレカと紐付けるのはやっぱ危険だよな。
クレカ会社からクレーム来ないのかな?
116:名無しさん@1周年
19/07/13 00:37:27.71 snI+6Oy70.net
ポジティブに考えれば、逮捕歴のある外国人はビザ取得が厳しくなるから、悪い外国人が少しでも逮捕出来たと言うことで。
117:名無しさん@1周年
19/07/13 00:38:14.52 WRq+B2uu0.net
ソルト付いてようがパスがしょぼければダメダメ
118:名無しさん@1周年
19/07/13 00:38:29.48 0BIzzYNg0.net
>>111
パスワード用ならつけない理由がないだろ
119:名無しさん@1周年
19/07/13 00:38:41.47 Eo9JOvgt0.net
>>78
派遣にやらせてる割合はすくなそうやな
あと上が知識ある
120:名無しさん@1周年
19/07/13 00:39:40.05 Eo9JOvgt0.net
>>114
だよな
121:名無しさん@1周年
19/07/13 00:39:56.90 Hz0MP3Co0.net
>>74
15年ぐらい前にそんな環境で開発したな
まじな話なら色々ヤバイだろw
122:名無しさん@1周年
19/07/13 00:40:01.08 GzhVaUiX0.net
システム、中国人に丸投げしたんだろ。
123:名無しさん@1周年
19/07/13 00:40:10.65 NCGE3afN0.net
ハッシュ化は普通bcryptとか使うんだろうけど、7ならmd5で完璧なセキュリティだと思ってそう
124:名無しさん@1周年
19/07/13 00:40:14.55 xH/xopxm0.net
セブン株さすがに暴落してるんか?
125:名無しさん@1周年
19/07/13 00:40:22.55 8s7Lub8w0.net
コンビニはamazonあたりに瞬殺されそうだな
126:GGG48&S&B&Apple-DoCoDeMo
19/07/13 00:40:59.87 bLvkXQ1u0.net
ゴキブラミングのゴキブリッショナル集団、GGG48にでもやらせりゃ良かったのに
こんなのお茶の子さいさいよ♪
ワンパックでどっかに固まって移動でもしてるんだろうからその都度雇えばよろしおす
127:名無しさん@1周年
19/07/13 00:41:03.50 QGwLz1dj0.net
>>1
ハッシュを復元されて使用禁止されてるMD5やSHA1なんかを暗号化に使ってたのか?
128:名無しさん@1周年
19/07/13 00:42:26.20 UXAqmpff0.net
責任者がちゃんと責任取るかどうかなんだけど。
結局、だれも責任取らないだろうね。
129:名無しさん@1周年
19/07/13 00:42:35.10 eOufadPN0.net
どこのSIerが開発したの?
130:名無しさん@1周年
19/07/13 00:42:48.26 Bwl/8GFM0.net
こういうのってはんしゃに貢ぐ為にやってるんじゃないかとさえ思うよな?何回もやってるんだから想定できるはずなのに。
131:名無しさん@1周年
19/07/13 00:43:33.77 h3XoMOkN0.net
いわゆるOAuthだよね
なんでハッシュ化されたサーバ側のパスワードからユーザーが入力するパスワードが復号できるの?
132:名無しさん@1周年
19/07/13 00:43:38.10 ioYjvjY40.net
お笑い7ペイ
133:名無しさん@1周年
19/07/13 00:43:54.77 SmOIE/WZ0.net
>>121
株価はここ三ヶ月での高値圏
今日も上がってた
134:名無しさん@1周年
19/07/13 00:44:06.70 v3phziio0.net
>>110
パスワードロックかけるのはそれほど大変ではないが
ロック解除のシステムを作らなきゃならなくなる
ロック解除のシステムは、客からのロック解除の要求に
速やかに、かつセキュアに対応しな
135:ッればならないから、 わりかしお金がかかるのよ だからロックかけることを渋るクライアントが多い オンラインバンクなんかだと、 パスワードロック解除はコールセンター対応で しかも24時間対応 銀行様はやっぱそれなりにシステムに金かけてるんだよなー
136:名無しさん@1周年
19/07/13 00:44:54.62 WZx4Ht+10.net
新しいライフスタイル、口座シェアリング
137:名無しさん@1周年
19/07/13 00:45:08.21 TyBx21wW0.net
認可まわりの設計がタコでトークンが漏れている
ハッシュがどうとかは本質的な話ではない
138:名無しさん@1周年
19/07/13 00:45:12.32 AIQXhwuF0.net
ハッシュ流出とか意味分からんのだが
2000年以前の話か?
139:名無しさん@1周年
19/07/13 00:45:21.16 Xw8oIfiK0.net
ぼくのおにぎりはだいじょうぶかな
140:名無しさん@1周年
19/07/13 00:45:30.55 6mX/Vpiu0.net
セブン&アイHDの下で、7payは別会社化されている。
既存のカード事業会社とも別会社なので、セキュリ
ティが正しく実装されているかはそっちの会社から
も検証されるはずなんだけどね?
実は名ばかり別会社? 同じフロアで隣で仕事してる感じ?w
141:名無しさん@1周年
19/07/13 00:46:32.92 Eo9JOvgt0.net
>>136
リブラとファミペイがあるから上がせかしたんやろ
142:名無しさん@1周年
19/07/13 00:46:54.81 a21WJQpA0.net
7pays to die
143:名無しさん@1周年
19/07/13 00:46:59.22 Vf7MGkUv0.net
ヤリマン女のマンコみたいにガバガバ❗か❔
144:名無しさん@1周年
19/07/13 00:47:07.92 FxX3xUly0.net
それ脆弱性ってレベルじゃねえだろwww
145:名無しさん@1周年
19/07/13 00:48:05.06 oRpmQfdh0.net
最終的に現金が最強。
146:名無しさん@1周年
19/07/13 00:48:30.34 bdksHPwN0.net
>>3
そらもう世界中から総攻撃よwwwww
147:名無しさん@1周年
19/07/13 00:48:57.58 TLXEKIpF0.net
セブンペイ過去帳入りか
148:名無しさん@1周年
19/07/13 00:49:04.22 eOufadPN0.net
T-pointとか楽天とか
ドコモとかわけわかめ
149:名無しさん@1周年
19/07/13 00:49:32.71 LE5+Ryiy0.net
先に気付いたシナ人(それも喫煙者)どんだけ優秀かって話だな
150:名無しさん@1周年
19/07/13 00:49:34.30 1DWT0VSt0.net
>>136
別会社なのだから、7pay から検証依頼(有料)があればやるでしょ
依頼なしなら、依頼しない 7pay の責任
151:名無しさん@1周年
19/07/13 00:49:42.32 6mX/Vpiu0.net
電子決済史に残るド級のトラブルw
下々の関わった技術者は年取ったら笑い話のネタ。
152:名無しさん@1周年
19/07/13 00:49:53.53 q5hB/gnR0.net
どこが作ったんだろ?
153:名無しさん@1周年
19/07/13 00:50:39.60 v3phziio0.net
>>141
まぁそうなっちまうよな
ネットに繋がることで得られる便利さと
繋がることによるリスク
天秤にかけてきちんと判断した方がいい。
154:名無しさん@1周年
19/07/13 00:50:51.69 h3XoMOkN0.net
なんで他人がapi叩けるの?
urlが分かりやすかったとしても
アイパス普通つけてるし
155:名無しさん@1周年
19/07/13 00:51:04.66 b1IuQekd0.net
オーナーいじめてる場合じゃあなあいよ
156:名無しさん@1周年
19/07/13 00:52:57.50 BauXRP4k0.net
お金を扱う資格無しだろこれは。
一ヶ月や二カ月で、復帰させてはいけない。
157:名無しさん@1周年
19/07/13 00:53:48.20 Bhc8S+Hy0.net
7payを選んでしまった頭の脆弱性
158:名無しさん@1周年
19/07/13 00:53:51.40 TyBx21wW0.net
>>150
どこかでアクセストークンが盗まれている
159:名無しさん@1周年
19/07/13 00:53:58.76 jCrHXJWf0.net
なんかアプリ数回変わってるだろう
ここ半年で
アホかと思うセブン愛ホールディングス
もう会長くびにせえや
160:名無しさん@1周年
19/07/13 00:54:52.74 K7Hx8RsD0.net
ここまで酷いのか…
161:名無しさん@1周年
19/07/13 00:54:53.57 E7tp0Rmt0.net
オムニ7「素人よ、我々に頼れ」
162:名無しさん@1周年
19/07/13 00:56:40.14 1DWT0VSt0.net
>>148
何処が作ったかではなく、発注
163:、(7)の問題 当初計画の開発期間の半分を大きく超えた時点で、 カットオーバー変えずに大規模仕様変更かけるだけで発注側ダメダメ 開発会社が変わったのも、残り開発期間と仕様変更で、 当初の会社が無理判断で降りたんでしょ
164:名無しさん@1周年
19/07/13 00:56:40.58 Nj+aGDLw0.net
セブンに情報渡してる人大丈夫かよこれw
165:名無しさん@1周年
19/07/13 00:56:50.51 TLXEKIpF0.net
間違い無く失敗知識データベース案件だな
166:名無しさん@1周年
19/07/13 00:56:58.74 5Ppxr6V50.net
7の中国人アルバイトが不正使用で捕まってたよな?
間抜けすぎだろ7?(w
167:名無しさん@1周年
19/07/13 00:57:00.72 QZpuKWUQ0.net
>>157
お前のせいだろ(´・ω・`)
168:名無しさん@1周年
19/07/13 00:57:42.96 Vf7MGkUv0.net
株式会社セブン・ペイ(英名:Seven Pay Co., Ltd.)
所在地
東京都千代田区二番町4番地5
代表者の役職・氏名
代表取締役社長 小林 強(こばやしつよし)
(株式会社セブン・フィナンシャルサービス取締役専務執行役員兼務)
個人情報保護管理責任者 管理部
株主及び持株比率
株式会社セブン&アイ・ホールディングス(出資比率40%)
株式会社セブン・フィナンシャルサービス(出資比率30%)
株式会社セブン銀行(出資比率30%)
169:名無しさん@1周年
19/07/13 00:57:56.52 gfDnxpUw0.net
ちゃんと診断してたってのも嘘なんだろうな。当たり前か
170:名無しさん@1周年
19/07/13 00:58:17.98 6mX/Vpiu0.net
>>146
既存カード事業会社のDBである7IDにログインさせてる時点で、自分とこの最重要資産に
アクセスさせているわけだし、ここが正しく実装されていないとデータ取られ放題なので
、既存カード会社側が実装について検証する仕組みがあるのが普通。
171:名無しさん@1周年
19/07/13 00:58:19.33 QGwLz1dj0.net
>>90
ダメだろうね。
ハッシュ化は復元できない別の数字に置き換えるから。
それが出来るってことは復元化が確認されて使用が禁止されたハッシュ関数をわざわざ仕込んでるということ。
全員のパスワードが見えてる。
172:名無しさん@1周年
19/07/13 00:58:21.01 g1o5jI9x0.net
素っ裸pay
173:名無しさん@1周年
19/07/13 00:58:55.03 w6RZiLDx0.net
>>77
LINEpayは寧ろ一番老舗ながら今まで流出ないから安全だぞ
174:名無しさん@1周年
19/07/13 00:58:56.59 hid70w4N0.net
個人で作ったシステムにも劣るな…
一体いくらで作ったんだよ?
175:名無しさん@1周年
19/07/13 00:59:03.44 1DWT0VSt0.net
>>155
先ずは、HDの前に開発責任の 7pay 役員の刷新ですね
7pay の会社自体と潰して、HD直轄にしても良いくらい
176:名無しさん@1周年
19/07/13 00:59:37.79 7MkzUEqT0.net
すげーよなセブンは
オムニ始まった時に登録しようとしたけどなんかヤバそうな雰囲気感じたし
あん時は住所の登録とかは不要だったけどね
177:名無しさん@1周年
19/07/13 00:59:48.29 qEwhkQoN0.net
システム開発丸ごと韓国に丸投げしてそうだなw
178:名無しさん@1周年
19/07/13 00:59:54.41 v3phziio0.net
>>145
巷の噂にしか過ぎないが
セブンのアプリがガバガバだったのは有名で
でもクーポン貰えるくらいのアプリだから
攻撃する価値もないってんで、放置されてた
そのアプリに決済機能乗っけると発表したもんだから
サービスイン直後に攻撃受けたってー話
まぁ噂にしか過ぎん
179:名無しさん@1周年
19/07/13 01:00:05.74 Vf7MGkUv0.net
セブンカード(クレカ)もお前ら用心しとけよ
180:名無しさん@1周年
19/07/13 01:00:38.18 R4StK/lm0.net
運用開始と同時に大量に不正が行われたわけだから、製作段階から犯罪者が入っていたと考えるのが普通だよな
181:名無しさん@1周年
19/07/13 01:01:37.01 1DWT0VSt0.net
>>165
普通に相互連携
182:してるなら、あなたのいう通り でも、7pay から余裕あるタイミングで情報が来なければ対応できない
183:名無しさん@1周年
19/07/13 01:01:44.44 LbQm7LXI0.net
これだからOpenIDは信用ならない
というか作った人このために勉強しました
レベルの人なんじゃないのかな
184:名無しさん@1周年
19/07/13 01:01:55.47 hid70w4N0.net
>>172
711HDなら主体はNだろ、なら忠から中に流れて韓国はほとんど入れない。
185:名無しさん@1周年
19/07/13 01:03:22.40 aFJozhyw0.net
システム作ったのどこだよ
186:名無しさん@1周年
19/07/13 01:03:26.46 6mX/Vpiu0.net
>>175
ザル仕様なことを知った下っ端の土方が、情報流したくらいだろw
下っ端の土方が、オフショアだった可能性はおおいにあるけどw
187:名無しさん@1周年
19/07/13 01:03:42.81 Dv4JA7FU0.net
同時に開始したファミマのペイはそんな話聞かないよな。
もしかしたら、ファミマがペイ開始する事知ったセブンが慌ててペイのシステム作ったからテスト検証せずに運用開始したのかな。
188:名無しさん@1周年
19/07/13 01:04:16.58 4chht7E70.net
なんちゃらpayを使うヤツは情弱
189:名無しさん@1周年
19/07/13 01:04:16.83 QGwLz1dj0.net
>>44
MD5 :2009年にTao Xie、Dengguo Fengによって衝突耐性が破られている (220.96 time)。通常のコンピュータで数秒で可能
SHA-1:2011年にMarc Stevensによって261回の試行で理論上、強衝突耐性を突破[1]。実際の突破には至っていない。
↑
とwikiに書いてあるけど逆変換のサイトがある。
190:名無しさん@1周年
19/07/13 01:05:08.26 KADSJjJv0.net
>>22
カットイン
191:名無しさん@1周年
19/07/13 01:05:25.12 MRMnJ5gk0.net
>>160
畑村先生の新刊のネタができたなw
192:名無しさん@1周年
19/07/13 01:06:04.31 hwep2b3s0.net
「7payは安全アル」
「早くサービス再開するニダ」
193:名無しさん@1周年
19/07/13 01:06:07.60 TtCm7s/k0.net
>>177
欧州ではあんなの使わず政府が保証するIDを使ってもらおうとしている
こっちの方が正しいな
194:名無しさん@1周年
19/07/13 01:06:36.10 h3XoMOkN0.net
>>154
詳しそうなので教えて下さい
ほかのアプリの情報まで漏れたってフェイスブックのパスワードとかってこと?
195:名無しさん@1周年
19/07/13 01:06:53.75 J/kYjiiA0.net
やめちまえ!!
セブンの役員一人くらい責任とって辞めろ!
196:名無しさん@1周年
19/07/13 01:07:00.82 v3phziio0.net
>>168
「アカウント乗っ取りが起きてるサービスを
他サービスの認証に使うべきじゃない」
意味わかるか?
LINEぺいで漏洩起きてるか起きてないかは関係ない
197:名無しさん@1周年
19/07/13 01:07:09.60 r+OMxO6j0.net
>>183
逆変換が分かったからって突破はできないでしょ
198:名無しさん@1周年
19/07/13 01:07:16.90 UlljUNBP0.net
>>174
セブンのクレカはPCI DSS準拠してるんで、厳格なQSA審査して認定されてるから大丈夫!のはずw
199:名無しさん@1周年
19/07/13 01:08:26.40 35vvZU4z0.net
やっぱopenIDシステムは絶対使わないようにしよう
どっかザルだったら全部不安になるじゃん
200:名無しさん@1周年
19/07/13 01:08:26.48 aFJozhyw0.net
過密で登録できなかった人は助かったな
201:名無しさん@1周年
19/07/13 01:08:38.12 b5Vxwjwa0.net
日本が突然Pay地獄化したのはソフトバンクのハゲのせい
202:名無しさん@1周年
19/07/13 01:08:50.91 zaPmFt9E0.net
しかしハッカーはよく見つけるな
その知識を他に使えんのかw
203:名無しさん@1周年
19/07/13 01:09:23.11 hwep2b3s0.net
>>173
>セブンのアプリがガバガバだったのは有名で
>でもクーポン貰えるくらいのアプリだから
あ、それはどっかの板で聞いたな
セブンイレブンなんか(あえて)使わないからふーんぐらいに思ってたがまさかここまで酷いとは
204:名無しさん@1周年
19/07/13 01:09:40.92 VKo8/IXl0.net
簡単やね
205:名無しさん@1周年
19/07/13 01:09:49.12 h3XoMOkN0.net
>>177
openidを使ったサービスベンダーの中にアホが混じってると他の例えばフェイスブックとかのパスワードも漏れるってこと?
206:名無しさん@1周年
19/07/13 01:09:51.18 UlljUNBP0.net
>>196
ペンテストに使う
207:名無しさん@1周年
19/07/13 01:09:52.53 lrCa5Hn40.net
7時から11時の初心に還るべきだろう
208:名無しさん@1周年
19/07/13 01:09:57.40 Eo9JOvgt0.net
>>193
クーポンでるだけのアプリとかならつけた方がいいとおもうぞw
209:名無しさん@1周年
19/07/13 01:11:41.55 TyBx21wW0.net
>>188
facebookはSSOに使っているだけでトークンは7用のもの
トークンさえ手に入れれば7のAPIは好きなだけアクセスできる
210:名無しさん@1周年
19/07/13 01:11:59.29 35vvZU4z0.net
>>201
はい契約違反
211:名無しさん@1周年
19/07/13 01:12:26.39 2Y8I8JGy0.net
脆弱性てんこもりの7payだが、しかしそんなの大騒動するほどのことじゃない
Pay決済戦国時代に「戦わずして戦死したPay」と言うだけ
どうせ誰も使ってないし、これからも誰も使わない
7Payが無くてもPay戦国時代はすでに飽和状態だ
話題にするだけ無駄
212:名無しさん@1周年
19/07/13 01:12:29.36 v3phziio0.net
>>199
例えのそのFacebookが
一番大量のダダ漏らししてる気が……
213:名無しさん@1周年
19/07/13 01:12:55.05 /lVQ0xfs0.net
ハッシュの逆変換とかMD5とかならネットにすら転がってるレベルだし
他のハッシュも桁数だけの問題で複合可能なのは常識だろ
作ったやつどんだけ素人なんだよ
214:名無しさん@1周年
19/07/13 01:13:32.95 e90bOp1j0.net
そもそもアカウント連携なんて情弱が使うシロモノだからな
215:名無しさん@1周年
19/07/13 01:13:56.81 mA0Vwm2+0.net
ペイペイって登録してない人のクレジットカードが割られる脆弱性があったじゃん?
7payはそれないの? あくまでも会員だけの被害?
216:名無しさん@1周年
19/07/13 01:14:09.86 IWh0HLb50.net
それ欠陥だろ
217:名無しさん@1周年
19/07/13 01:14:33.15 H3mjRX8G0.net
あの社長はまだ生きてるのか?
意外にしぶといのか鈍感なんだな
218:名無しさん@1周年
19/07/13 01:14:40.05 ZF1q4rgF0.net
こんなんハッキングしてもチャレンジしたことが恥になるレベル。
219:名無しさん@1周年
19/07/13 01:14:56.81 /lVQ0xfs0.net
>>212
ほんまそれ
220:名無しさん@1周年
19/07/13 01:14:57.23 ktFenJgx0.net
まさかセブンイレブンがぶっつぶれるとはな
221:名無しさん@1周年
19/07/13 01:15:53.41 h3XoMOkN0.net
>>203
なんとなく分かりました
セブンのpassと他のサービスも同じのを使ってる的な発想で攻撃できるってことですかね
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
1553日前に更新/233 KB
担当:undef