[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 07/17 07:05 / Filesize : 236 KB / Number-of Response : 1004
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]
|
↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました |
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
- 1 名前:trick ★ [2019/07/16(火) 19:37:44.12 ID:E2A42xcI9.net]
- 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660 7pay取材班 15h BUSINESS 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。 7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。 プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。 首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。 7pay解析の協力者 タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。 外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた 書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった (略) https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg 先ほどの3枚の画像で非常に重要なのは、2枚目だ。 この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。 2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、 攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能 ……という状態にあったのが実情とみられる。 // ■要約 // 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
- 901 名前:名無しさん@1周年 [2019/07/17(水) 00:05:48.70 ID:PSg230XI0.net]
- >>862
気がかりというか、もうそれ既に大した問題じゃない まだ問題にみえるだけ根本よりまし >>884 恥の稼働実績増やしてどうするんだろうな
- 902 名前:名無しさん@1周年 [2019/07/17(水) 00:07:00.76 ID:nz/8i9Zj0.net]
- ●【カード】クレジットカード不正利用の被害が急増 過去最悪の236憶円超に
https://asahi.5ch.net/test/read.cgi/newsplus/1541493113/ ●【ペイペイ】PayPay利用してない人もクレジットカード不正利用被害 アプリに脆弱性 https://asahi.5ch.net/test/read.cgi/newsplus/1545033431/
- 903 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:07:21.15 ID:ogvrFEdX0.net]
- >>336
技術とかものづくりはせいぜい90年代まの話でしょ ただ遅くまで働くのを「日本人は勤勉だ」って美化するのと一緒に現実から目を背けて過去の栄光にすがってるだけ
- 904 名前:名無しさん@1周年 [2019/07/17(水) 00:07:37.63 ID:OuDGi1+b0.net]
- >>901
どうせ3週もすれば、みんな鳩のように忘れる。
- 905 名前:名無しさん@1周年 [2019/07/17(水) 00:08:01.77 ID:ZIoN57PH0.net]
- このクソシステムのベンダー割れたの?
- 906 名前:名無しさん@1周年 [2019/07/17(水) 00:08:10.85 ID:nz/8i9Zj0.net]
- 463名無しさん@1周年2018/12/18(火) 08:41:09.57ID:w3DX149k0
電子マネーの良さというのは、 せいぜい多くても一万円程度しか入ってないので、 万一紛失盗難にあっても、許容範囲であるために、 パスワードも身元確認も無しに、簡単に使えるところだ。 が、そこへ給与をチャージするとなると、 何十万という金額がチャージされるとこになり、 そうなると紛失盗難にあって「ま、いっか」では済まなくなる。 当然いままでのようにパスワードもセキュリティもなしに、 自分でも他人でも使える、なんてことでは危険になる。 そうなると、もはやどんどん不便になり、 「こんなんじゃ銀行のカードとなんもかわんなくね?」 ということになる。 本末転倒である 500名無しさん@1周年2018/12/18(火) 08:51:03.06ID:4XTlRBcA0 先ず俺の論理はね今現状でも円は凄く強いのよ 強すぎるの。それは偽造ができないくらい加工技術が細かい 一万から1円までものすごいの。つまりねこれ作るのに相当努力して 御先祖が偽造されないように作ったのよ。職人だよ本当に これ偽造しようとすると赤字になるの。 だからやらないのよ.だから強いのよ。それを電子通貨でキャッシュレスにして セキュリティーもガバカバのくせして サイバー攻撃は防御できないことしっててやるとしたら確信犯だよ これは絶対許さない。やったら暴れるしかない。俺の我慢越える 446名無しさん@1周年2018/12/26(水) 00:54:38.84ID:enkGfVK00 >>435 現金ATMでおろすにしても、 現金だと買う際に本当に必要かって考えるようになる部分が 結構大事なんだよ 240名無しさん@1周年2018/11/07(水) 08:44:54.29ID:sEKVFybV0 クレジットカードじゃないが ファミマでTカードを使うと ヤフーID経由でTポイントを不正使用される事例が多数みられるのでご注意ください
- 907 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:08:13.28 ID:hsA6i3J00.net]
- オムニセブンにクレカ登録で買いものしたことある
もしかしてやばい?
- 908 名前:名無しさん@1周年 [2019/07/17(水) 00:08:30.22 ID:6ljsSdSb0.net]
- セブンって銀行やってるのにこのセキュリティだもの
銀行の方も攻撃されるんじゃない
- 909 名前:名無しさん@1周年 [2019/07/17(水) 00:09:21.04 ID:cEmOLXWX0.net]
- 認証トークンの意味ないやん
- 910 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:09:23.58 ID:ogvrFEdX0.net]
- >>907
あきらメロン
- 911 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:09:47.27 ID:Ju5+DqVC0.net]
- >>895
そもそも初回の認証した時点でクレカの認証は通ってる 二回目以降はそれを使い回すだけ 一定回数/金額で再認証するのが正しい まぁそこまで気にするなら毎回認証させた方がいいが
- 912 名前:名無しさん@1周年 [2019/07/17(水) 00:10:12.70 ID:Ea5lGqNA0.net]
- 日本のITって終わってるな
中華に外注するか、国内で作るとこのザマ IT土方とかでこき使って人を育ててこなかった結果が如実に現れてるね 下町ボブスレーとセットでこのブザマな失敗談を教科書に載せるべきだね
- 913 名前:名無しさん@1周年 [2019/07/17(水) 00:10:25.77 ID:7/5pEb990.net]
- 日本のシステム開発って6次請け7次請けの寄せ集めがやってるからな
しかもどこから来たか誰も分からない外国人技術者までいるしこういう事が起こるのは当たり前だろw いい加減この業界の多重請負の中抜きは止めるべきだと思うよ
- 914 名前:名無しさん@1周年 [2019/07/17(水) 00:10:42.08 ID:nz/8i9Zj0.net]
- ●老人だけじゃない。誰でも判断力、記憶力が低下する
・病気 ・精神病 ・ストレス ・睡眠不足 ・加齢 ・頭ぶつけた ・イライラした ・疲労 ・失恋した ・ショックなことがあった 記憶力や判断力、注意力、管理能力は簡単に落ちる! 健康な時期は短い! ジワジワと判断力、記憶力が低下して 本人も周囲も気がつかないまま カード管理が徐々にできなくなって借金地獄に陥る ポイント配布は弱ったときにいつか食うための餌 発達障害、知的障害、精神障害、痴呆などの弱い人から食われてく 今、健常な奴も精神病んだりしたら食われる番にまわる 一分でも早く解約! 外人による搾取、日本人奴隷化を許すな! ニコニコ現金社会をみんなで維持しよう!
- 915 名前:名無しさん@1周年 [2019/07/17(水) 00:10:42.33 ID:3qgnu2sd0.net]
- そのうち、登録してないカードから金を抜かれそうw
- 916 名前:名無しさん@1周年 [2019/07/17(水) 00:10:53.30 ID:OuDGi1+b0.net]
- 割れてないよ。
まあ警察とサートは把握しているだろうが守秘があるからまず漏れない。
- 917 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:11:16.74 ID:ogvrFEdX0.net]
- >>913
お前全然分かってないなw
- 918 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:11:21.44 ID:GLBrRMmV0.net]
- 去年の7iD移行から、SNS連携がはじまってるのか。
これ基幹システムがどうのこうのいうより、表層的な部分、ウェブサイトを構築している企業がやらかしてるとおもう。 パスワード再設定のための未登録メールへの送信、事件発覚後に文字列だけをサイトからみえなくするとか。 つめがあまいだけで、きっちり設定すれば、クレカチェージなんてされることもなく、被害もここまで拡大しなかったようにみえる。 セブンイレブンの責任には違いないだろうけど、 アプリ、SNS連携、 既存のシステムに ちょこっとかぶせたところが ことごとく致命的なミスをやらかしている。 どこがつくったかくらい、いえよ。
- 919 名前:名無しさん@1周年 [2019/07/17(水) 00:11:33.53 ID:PSg230XI0.net]
- >>889
リアルで何やってんの?だな… >>904 忘れられるレベルであればいいんだけどね
- 920 名前:名無しさん@1周年 [2019/07/17(水) 00:11:38.81 ID:J2uQ1+ci0.net]
- SIer様はどこなんですかねぇw
- 921 名前:名無しさん@1周年 [2019/07/17(水) 00:12:13.79 ID:OuDGi1+b0.net]
- 来年のセキゅスペ午後iiの問題になるのは、間違いなさ層、このじけん
- 922 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:12:23.69 ID:Ju5+DqVC0.net]
- >>889
ペイペイの後追サービスはよくわからんな ペイペイ自体がfelica普及してる日本でやる意味がわからんのに 必要性が全く感じられない
- 923 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:12:41.94 ID:l66FSD9m0.net]
- 自動で流出するようになってた ← 今後の予想
- 924 名前:名無しさん@1周年 [2019/07/17(水) 00:13:01.80 ID:7/5pEb990.net]
- >>917
何が分かってないんだw
- 925 名前:名無しさん@1周年 [2019/07/17(水) 00:13:20.94 ID:nz/8i9Zj0.net]
- 577名無しさん@1周年2018/10/23(火) 02:46:28.67ID:0uBgrqyb0
自民党は仮想通貨に対してすべ対応が甘すぎる 仮想通貨は日本だけ見ても 今年だけで640億円あまりのハッキング被害 金融庁の監督責任を追求すべきだ ザイフから67億円の仮想通貨を盗み出した犯人は KYCを必要としない海外のバイナンスに 数千もの口座を開設して 分割送金 身元を明かさず大量の仮想通貨を バイナンスはで 洗浄してトンズラ 未だにメアドだけで登録できる バイナンスをはじめとした海外の取引所 が存在する 利用禁止にすべきだ。 アメリカは国民のmexの利用を禁止している また、アメリカでは公務員は仮想通貨の 保有枚数を報告する義務が課せられているが 日本の公務員には報告義務は課されていない 318名無しさん@1周年2018/10/23(火) 01:49:20.68ID:l/0DFEhH0 それぞれのカード会社が国にポイント還元分を請求する方法はあるが 不正の温床になるのが 目に見えているし カード会社も国もその為のシステムや組織をつくらなければならない バカが思いついた駄策としか言いようがない 70名無しさん@1周年2018/11/26(月) 06:32:09.03ID:jCNeVEuQ0 まぁチャージも買い物直前にコンビニ払いだが 郵貯カードなんか30万勝手に貸し出し機能つけてたかんな 何をしでかすかわかったもんじゃないわ 日本は津々浦々 現金さまさまでごんす
- 926 名前:名無しさん@1周年 [2019/07/17(水) 00:14:30.01 ID:nz/8i9Zj0.net]
- 【クレカ総当たり】PayPay広報「現時点でリトライ上限はない。今後対応する」★6
https://asahi.5ch.net/test/read.cgi/newsplus/1545089231/l50
- 927 名前:名無しさん@1周年 [2019/07/17(水) 00:14:32.49 ID:PSg230XI0.net]
- >>908
マネロン用に内部不正目的で利用してるんじゃ いや、ないよね?流石に、うん そんなわけないよ >>922 裏から情報抜くのに必要なんだって 後は、それをアカウント操作する 国外の情報を全部内部から操作管理する為にやってる
- 928 名前:名無しさん@1周年 [2019/07/17(水) 00:15:05.21 ID:nz/8i9Zj0.net]
- 161名無しさん@1周年2018/11/11(日) 17:35:59.27ID:L0BBBPLz0
キャッシュレス推進派のレスまとめ キャッシュレスはレジ開けてやってるような店の脱税防止だから 現金は汚い/雑菌がいっぱいで不潔 北欧では100%キャッシュレス/ドイツもキャッシュレス化しつつある 世界の流れだから日本も原始時代みたいな決済方法をやめろ 日本は中国や韓国にも遅れている、現金派の老害が悪い 現金派は爺さん婆さんの老害ばっか 日本の紙幣印刷技術は高い() レジで婆アがモタモタ小銭数えて出してるの見たら蹴り飛ばしたくなる レジで爺イがもたもた小銭数えて落としたりしてるから聞こえるように舌打ちしてやった 現金は盗まれたら被害が大きいがカードは盗まれてもカード会社に電話すれば大丈夫 現金派は災害の事ばかりいってるが、そんなたまにしか起こりえないこと気にし過ぎ 手数料は店が負担するんだから別にいいだろ? 店に現金が入金されるのが遅い?今時もっと早く入金してくれる会社あるしw 店が現金入るの遅いっても、客も支払したら現金なくなるんだが?売掛って知ってる? 手数料が高いのは国が安くしろって今指導してるだろ 現金派の老害はネトウヨ 数百円の決済でも俺はカード使うね カードの方が計算しやすい 現金は計算し難い 中小企業とかさっさと潰れて淘汰されればいい
- 929 名前:名無しさん@1周年 [2019/07/17(水) 00:15:56.36 ID:OuDGi1+b0.net]
- >>919
7ぺ使っていない奴は、まず忘れる。 使っている奴も2習慣もすれば忘れる。 アカウントの停止手続きもせず、アプリ削除で安心ニコニコブイしちゃうのが、4割。 何もせず触らなくなって塩漬けルートが3割。 こんなんだと思う
- 930 名前:名無しさん@1周年 [2019/07/17(水) 00:16:20.66 ID:nz/8i9Zj0.net]
- ●【北海道地震●使えぬクレジットカード、下ろせぬ現金 「ATMが使えないのが致命的。電気無いとこんなに不便とは」★5
https://asahi.5ch.net/test/read.cgi/newsplus/1536330525/ ホリエモン、“現金主義”の日本に苦言「100%キャッシュレスな社会が理想」 ホリエモン「まだ現金とか使ってんの?お財布ケータイで支払いはほとんど出来る」 ホリエモン「もう現金レジとか古臭いのでやめちゃったほうがいい」 ホリエモン「現金を持ち歩く日本人はキチガイだね、この変なこだわり。紙幣とか時代遅れ。不便だし」 ホリエモン「今時現金しか使えない店なんて潰れちまえばいいんだよ!」 ホリエモン「さっさと現金やめて全部電子マネーにしろ!現金やめると脱税もなくなるし」 ホリエモン「アメリカでは一度も現金使わなかった!日本は遅れてる日本ダサい」 ホリエモン「あのさあ! 現金払いはやめようよ! ねぇ! ガキじゃねえんだからさ!!」 ホリエモン氏「マジで現金とかやめてほしい 日本だけが取り残される笑笑 総じて現金派はアタマが悪い」 ホリエモン×ひろゆきが語るキャッシュレス社会「多くの人は現金が非効率なことに気づいていない」
- 931 名前:名無しさん@1周年 [2019/07/17(水) 00:17:00.91 ID:12eaeZi00.net]
- >>887
普及したら災害時に困る。 現金払いにさえ対応できない(シールの張り替え対策&釣り銭も無い&金を置く場所もない レジが紙が出ないし、紙のストックもない。 雷、サージ、停電で地域が全滅。 年寄りは覚えているだろうか、クレジットカードをカーボン紙で伝票を切った時代を。 今はほとんど存在しないし、店員も操作を知らない。 普及したときに通信系が対応できない。電線の復旧より通信線の復旧の方がきわめて困難。 北海道地震のセイコーマートみたいなことができる時代ではない。 (バブル時代、大手デパートは数時間、自家発電で運用できた。) スマホ時代はきわめて脆弱な時代だろう。
- 932 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:17:31.48 ID:Ju5+DqVC0.net]
- >>927
ユーザーサイドで必要性なんかあるか? 500円のデポジットで無記名スイカ持ってたほうがよっぽど便利だと思うが
- 933 名前:名無しさん@1周年 [2019/07/17(水) 00:17:32.51 ID:QO3ile4Q0.net]
- セブンイレブン万引きしようとしたらできるんじゃないの
加盟店がかわいそうでしょ みたいなことでしかない どんな運用するかは企業の自由
- 934 名前:名無しさん@1周年 [2019/07/17(水) 00:17:40.91 ID:PSg230XI0.net]
- >>929
多分、もっと先があると思う
- 935 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:17:47.21 ID:oYGCOYJX0.net]
- >>181
もう引退した年寄りの機械設計屋だけど実験データはLotus 1-2-3で解析 そのデータをN88basicで組んだプログラムで開発設計とかやってたよ ISO9001の規定やフィードバックの書式をWordで作って関連会社の伝票システム構築に参加したんだけど 数年後30代で抜擢された若手技術部長がその規定や書式を全部女性オペレータに書き換えさせてた 文章や書式はほぼ同一で Excelに
- 936 名前:名無しさん@1周年 [2019/07/17(水) 00:18:03.41 ID:OuDGi1+b0.net]
- そしてアカウント停止では削除されないから二次被害が発生して、削除手続きしても削除されない仕様とかになっているとかが基本路線じゃないかと。
- 937 名前:名無しさん@1周年 [2019/07/17(水) 00:20:08.43 ID:SnEnlTeh0.net]
- もうむちゃくちゃだな
- 938 名前:名無しさん@1周年 [2019/07/17(水) 00:20:45.19 ID:PSg230XI0.net]
- >>932
ユーザーじゃなくて、管理する側 実際に作ってる国の中身が国外の情報管理する為にやってるんだろう
- 939 名前:名無しさん@1周年 [2019/07/17(水) 00:21:49.66 ID:nz/8i9Zj0.net]
- AUウォレットもやばいぞ
勧誘されるときは退会できないという説明がない 退会したいと大騒ぎして何とか解約 電子マネー系、クレジットカード全般危険 クレジットカード番号はしょっちゅう流出してる ほぼ漏れてると思って間違いない
- 940 名前:名無しさん@1周年 [2019/07/17(水) 00:22:32.76 ID:PSg230XI0.net]
- >>936
それデフォルトじゃね? おそらく、Tポイントのシステムも同じだけど 削除請求してもごねられて実際には情報削除されないで保存され続けるよ 削除請求に応じない規定になってるから
- 941 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:22:34.41 ID:4gF/siZZ0.net]
- 仕様書通りでコレ?
- 942 名前:名無しさん@1周年 [2019/07/17(水) 00:23:23.72 ID:OuDGi1+b0.net]
- >>932
スマートカード(ICカード)が一番便利だと思う。 そこにワンタイムパスワードtokenでの二要素認証が比較的セキュアだと思う。 ただこのインフラは高い。
- 943 名前:名無しさん@1周年 [2019/07/17(水) 00:23:31.79 ID:FqbvnlCU0.net]
- バカ過ぎてもうね
- 944 名前:名無しさん@1周年 [2019/07/17(水) 00:26:07.59 ID:OuDGi1+b0.net]
- 設備よりもヒューマンインフラを整える必要が生じるから、殆どのIT会社は嫌がる。
おまけに会員制とかにして、月額費用を別に取る必要に迫られるからゴーキブルやあまなんかは決してやらない。
- 945 名前:名無しさん@1周年 [2019/07/17(水) 00:26:13.45 ID:cEmOLXWX0.net]
- どういうセキュリティシステムを作ったつもりだったんだろうか?
- 946 名前:名無しさん@1周年 [2019/07/17(水) 00:26:17.70 ID:dvq6EbQ70.net]
- ワシが学生の時に作ったみたいな仕様だな
これ作った人って、完全に無能だろ
- 947 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:26:20.96 ID:BNAaRfyJ0.net]
- アプリ入れて登録したら終わりだなw
- 948 名前:名無しさん@1周年 [2019/07/17(水) 00:26:37.25 ID:jN2YUDzT0.net]
- ぺいぺいって安定してきたの?
- 949 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:26:50.74 ID:y5KiDlCh0.net]
- >>922
外国人観光客が現金持たずにスマホ決済できるようにしたいための政策。 海外のスマホにFelicaついてないのでダメ。
- 950 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:27:56.36 ID:Ju5+DqVC0.net]
- >>938
だから 管理する側がいくら欲しくても、ユーザーがいらんもんは流行らんだろ いや、キャンペーンで釣ってるのはわかるがそのキャンペーンに釣られるの情弱すぎるだろと >>942 プリペイドならセキュリティはそこそこでいいからな そもそもクレカオートチャージするくらいならクレカで払えよと
- 951 名前:名無しさん@1周年 [2019/07/17(水) 00:29:26.10 ID:OuDGi1+b0.net]
- なのでスマートカードのみで金額に制限を掛ける当座口座のような機能で止めるのがリスクが低い。
しかし、何故か上限を設けずにキャッシュレスを目指すからアンバランスな設計となる。 おまけにWebアプリケーションとか、正直正気を疑うれべる
- 952 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:30:01.75 ID:Ju5+DqVC0.net]
- >>949
空港でスイカ配りゃいいじゃん というか、すでに配ってるし 海外との共通規格で普及させるならまだしもガラパゴスに意味あるのか?
- 953 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:31:05.96 ID:CEeqpdVE0.net]
- >>923
たぶん「総当たりすら必要なかった」が次にくると思われ
- 954 名前:名無しさん@1周年 [2019/07/17(水) 00:32:21.26 ID:OuDGi1+b0.net]
- >>949
まあそういうことだな。 スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある
- 955 名前:名無しさん@1周年 [2019/07/17(水) 00:35:12.21 ID:OuDGi1+b0.net]
- 海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。
- 956 名前:名無しさん@1周年 [2019/07/17(水) 00:36:31.83 ID:OuDGi1+b0.net]
- アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。
まあトラベラーズチェックもパスポート要求されて番号控えられるけど
- 957 名前:名無しさん@1周年 [2019/07/17(水) 00:37:16.55 ID:Ea5lGqNA0.net]
- >>952
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ 払い戻ししやすくすれば観光客だって買ってくれるし
- 958 名前:名無しさん@1周年 [2019/07/17(水) 00:37:28.61 ID:QO3ile4Q0.net]
- >>955
ネット経由になったら7payみたいなことになる
- 959 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:38:21.81 ID:vPNN69ev0.net]
- クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか 設計段階から口挟ませろ
- 960 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:38:43.29 ID:y5KiDlCh0.net]
- >>950
クレカチャージ、Pay払いでポイントの二重狙いだろ。 あと,キャンペーン中だからってのも大きい。 >>952 それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。 スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。
- 961 名前:名無しさん@1周年 [2019/07/17(水) 00:39:53.54 ID:a6Sj+mea0.net]
- これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと
- 962 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:40:00.58 ID:Xugcy53o0.net]
- 5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった
- 963 名前:名無しさん@1周年 [2019/07/17(水) 00:40:27.34 ID:OuDGi1+b0.net]
- 一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか?と
- 964 名前:名無しさん@1周年 [2019/07/17(水) 00:42:01.30 ID:PSg230XI0.net]
- >>950
多分、流行するかどうかの問題じゃないんだと思うよ そういう観点じゃない >>962 いま日本のセキュリティって本気でやばいよな この業界抜けて本当に良かったに同意する これしかし、この草原状態だれがどう世話するのかね
- 965 名前:名無しさん@1周年 [2019/07/17(水) 00:42:07.17 ID:a6Sj+mea0.net]
- >>963
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない
- 966 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:42:45.24 ID:8QJfmOtG0.net]
- なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね!(^▽^)
- 967 名前:名無しさん@1周年 [2019/07/17(水) 00:42:53.58 ID:a6Sj+mea0.net]
- >>964
草原ってかサバンナだな
- 968 名前:名無しさん@1周年 [2019/07/17(水) 00:44:06.31 ID:QO3ile4Q0.net]
- >>963
クレカでセブンマネーを買う信用販売でしょ キャッシング=ローンじゃない
- 969 名前:名無しさん@1周年 [2019/07/17(水) 00:45:23.43 ID:OuDGi1+b0.net]
- >>965
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。 利息がつかないという面も有るんだろうが、 ならポイントをリボ払い出きるの買いなと
- 970 名前:名無しさん@1周年 [2019/07/17(水) 00:45:36.25 ID:PSg230XI0.net]
- >>967
確かに サバンナに無防備な羊放し飼い状態になってるのが気になって こういうニュースはみてしまうけど もう小手先の何とかで何とかなる時代は済んでるしなあ 最悪の状態になる前になんとかなるのかね?
- 971 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:45:56.77 ID:FNohIR4/0.net]
- >>710
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。 よほど技術がなかったか、提案してもセブンに押しきられたか。
- 972 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:46:32.02 ID:16UfSomM0.net]
- ニートのお前らに任せてももっとマシなもの作るぞw
プロがどうやったらこんなもの作ったんだ
- 973 名前:名無しさん@1周年 [2019/07/17(水) 00:47:21.35 ID:OuDGi1+b0.net]
- 結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと
- 974 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:48:20.93 ID:P5MfSz5x0.net]
- どういう状況でこの仕様にGOだすんだよワロタ
- 975 名前:名無しさん@1周年 [2019/07/17(水) 00:48:31.94 ID:PSg230XI0.net]
- >>971
ベンダーがいなかったに一万ペリカ いや、マジでいるとは思えない仕様 といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが …謎だな
- 976 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:48:36.97 ID:ZrYnw1bj0.net]
- 開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの
- 977 名前:名無しさん@1周年 [2019/07/17(水) 00:49:53.69 ID:Ng/Biark0.net]
- やはり現金が最強だった
なんといっても歴史が違う はやりものに飛びつく奴はバカ
- 978 名前:名無しさん@1周年 [2019/07/17(水) 00:50:13.91 ID:oFHHV8YR0.net]
- 攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな
- 979 名前:trick ★ [2019/07/17(水) 00:50:13.95 ID:O3UhTa5c9.net]
- 【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/
- 980 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:50:35.34 ID:Ju5+DqVC0.net]
- >>964
企業側が普及させたい理由はわかるんだよ むりやり餌ばらまいてるのが目に見えてるのに それに飛び乗る消費者心理が良うわからんということ
- 981 名前:名無しさん@1周年 [2019/07/17(水) 00:51:26.62 ID:a6Sj+mea0.net]
- >>969
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ
- 982 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:52:56.88 ID:Ju5+DqVC0.net]
- >>974
答え:仕様にない
- 983 名前:名無しさん@1周年 [2019/07/17(水) 00:53:12.86 ID:OuDGi1+b0.net]
- >>978
破られるまでが早すぎ 解析してどうこうという話とは違う。 組織犯罪の気配もあると直ぐに報じられとるし
- 984 名前:名無しさん@1周年 [2019/07/17(水) 00:53:49.60 ID:a6Sj+mea0.net]
- >>975
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな アプリや7payはまた別のベンダーだが
- 985 名前:名無しさん@1周年 [2019/07/17(水) 00:54:00.10 ID:OuDGi1+b0.net]
- >>982
しようがないな
- 986 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:54:13.12 ID:Bjo8OYbu0.net]
- これ今後も運用するつもりなの?
基本設計からやり直しになるよね…?
- 987 名前:名無しさん@1周年 [2019/07/17(水) 00:54:32.32 ID:cEmOLXWX0.net]
- 結局誰も責任とらないんでしょ?
- 988 名前:名無しさん@1周年 [2019/07/17(水) 00:54:39.60 ID:mEEyRmG+0.net]
- こんな会社が作るフランチャイズ契約www
- 989 名前:名無しさん@1周年 [2019/07/17(水) 00:54:47.73 ID:a6Sj+mea0.net]
- >>987
これ
- 990 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 00:55:21.55 ID:Ju5+DqVC0.net]
- >>983
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう
- 991 名前:名無しさん@1周年 [2019/07/17(水) 00:56:05.54 ID:PSg230XI0.net]
- >>980
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と 消費者側には流行に飛び乗る心理がある >>983 これが真相なんだろうな それにしてもあほすぎるけど それならまだほっとできるという辺りが日本の状況は悪すぎるというか
- 992 名前:名無しさん@13周年 mailto:sage [2019/07/17(水) 00:57:30.08 ID:BpYbhY0Gw]
- 建築基準法みたく、セキュリティシステムも法規制しろよ
現行のシステムも穴だらけだろ
- 993 名前:名無しさん@1周年 [2019/07/17(水) 00:56:24.85 ID:Ng/Biark0.net]
- >>987
さすがに個人株主は売りに走るだろうから 株価低迷で大株主が責任取るだろ
- 994 名前:名無しさん@1周年 [2019/07/17(水) 00:58:47.10 ID:PR8LPC810.net]
- しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ
- 995 名前:名無しさん@1周年 [2019/07/17(水) 00:58:50.24 ID:PSg230XI0.net]
- >>939
リアルにベンダーいたのが信じられない 幽霊ベンダーにしても外側だけ貸し出しにしても 本気でちょっとHP作ったことあります!なヒトに 中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような ありえんよな
- 996 名前:名無しさん@1周年 [2019/07/17(水) 01:00:06.38 ID:OuDGi1+b0.net]
- >>981
7ぺの特性とクレカの決済は別のお話。 7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。 なんで直接ポイントではなく信販決済にせんのか?ということ。 7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。
- 997 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 01:00:22.12 ID:GLBrRMmV0.net]
- オムニ7 → 7iD で SNSログイン導入で、セブンも外部との連携、欲をかきはじめた。
大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。 まあ規模からいって、NTTデータとかじゃないだろ。 ウェブのところで、全部みすってるかんじ。 誰がこれをやろうとしたか。
- 998 名前:名無しさん@1周年 mailto:sage [2019/07/17(水) 01:00:49.69 ID:vPNN69ev0.net]
- どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ
- 999 名前:名無しさん@1周年 [2019/07/17(水) 01:00:50.86 ID:a6Sj+mea0.net]
- >>994
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw Suicaと違って無効化反映すぐにできないのに
- 1000 名前:名無しさん@1周年 [2019/07/17(水) 01:02:43.08 ID:PSg230XI0.net]
- >>990
これ、試すといっても試しにもならないレベルだろう 破ってどーするんだよ?という >>986 一番ありえんのは、これを損害算定してこのまま動かそうとしてることか
|
|
[ 続きを読む ] / [ 携帯版 ]
前100
次100
最新50
▲ [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<236KB
read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef