【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
レス数が1000を超えています。これ以上書き込みはできません。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」 第三者がパスワードリセットできた
↓
第三者がパスワードなしでログインできた
↓
第三者が何も知らなくてもログインできた ←いまここ! 本当はサービス停止しないといけないけれど、トップが無能すぎてそれすら分からない状態。
深刻だ。 これでもなおサービス停止しないとか、もはや犯罪幇助組織でしかないな パスワードなくてもログインできるらしいですね
今朝ニュースで言ってました
セキュリティ以前の問題 アホ過ぎる。
よくこんな企画OK出したな。
開発責任者は打ち首獄門はまぬがれない。 おそらくセブンの社内システムもこの程度のセキュリテイと思われる >>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる
使いたければどうぞ 儲かってるはずなのに何に金使ってるんだろう?
ちゃんと金かけて準備万端整ってから始めようよ 老人向けに
おまえらがアベシンゾーですって言えば、首相官邸の警備員が官邸の鍵を開けてくれるのと同じことなw 当然何回も来てもエラー判断してなかったんだろうなw >>1
最近、スレタイ作文するアフィカス記者増えたよね スマホでapi叩いてんのかw
整数で行けるんなら手作業でもそこそこ抜けるな
pcなら数百から数千はぬける >>21
セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存
↓
グーグルにすべて拾われる
↓
客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出
↓
ネット通販サイトの名称を変えて知らんフリ セキュリティ担当誰だよw
っていうか居なかっただろw > オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
これどういうこと? 固有端末を使う2段階認証はあるとしても、
他の日本企業のほとんどがこういう超低レベルなセキュリティーということがよくわかったわ
日本人消費者「絶対に解読できないハイテクな暗号技術を使ってるはず。」
中国人等犯罪者「だいたいの日本企業のセキュリティーは小学生でも解けるアルヨ。やってみればわかるアル。」 総当りで簡単に突破可能とか笑うしかねえな
ちょっとしたコード組めば余裕ジャン >>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった 認証しないで認証トークン返す…
バカじゃねーの。いや、バカじゃねーの。
パスワードの設定が間違っているなどとユーザーのせいにしたマヌケ
経営ゴッコしてるだけの素人 トークン渡してねぇのにトークン返したらあかんがなw 世界よこれが日本じゃバカタレwwwwwwwwwwwwwwwwwwwww
ノーガードwwwwwwwwwwwwww U ・ω・) 日本人は水と安全は無料だと思っている。
日本に日本人だけしかいないのであれば確かにそうかもしれないが……
それ故に、戦後〜平成の間、反日朝鮮人につけ込まれ続けてきたわけだ 今時ブラウザゲーですらそんなデータの持ち方してねーだろ パスワード12桁を設定してた人でも突破されたといってたな
先週
そもそもそのパスワードすらいらないシステムだったとは >>13
パスワードなしっていうかトークンがパスワードがわりみたいなもん
普通本人認証したあとこいつは大丈夫ってことでトークン発行するんだけど手当たり次第アカウント叩いたらトークンもらえるというw >>39
APIってアプリ専用のものってイメージだったんだけれど
違ったんだね サンキュ これセブン側にプログラム読める人居なかったんだろうか… >>43
ソニーはノーインジェクションでネットサービスした男前だからなw >>67
当時のスレでアダルトグッズ買ってた女性が晒されてて
可哀想だなーって感じだった >>65
企業から50歳以上を追い出さないと意味がない >>62
日本の誇りってもんよwwwwwwwwwwwww システムが退化してる、お幾ら万円で仕事依頼したの?
>>1
トランプ発言の余波、米財務長官がビットコインなどの仮想通貨に対して立場を表明した。
1.『ビットコインはアメリカの準備金制度に採用しない。米ドルによる準備金制度を重視 』
2.ビットコイン等の仮想通貨を利用した、億ドル単位に及ぶ不正行為は「国家安全保障上の問題」
3.クロスボーダーに及ぶ仮想通貨規制を検討する
4.仮想通貨の投機行為は特に問題視されてないが、違法行為での利用は断固認めない(ソースアメリカ財務省)
#トランプ大統領、仮想通貨全般への懐疑論を展開
「ビットコインなどは通貨ではなく、その価値は非常に変動が激しく、根拠とするものは一切ない。
規制を受けない仮想通貨は麻薬取引や他の不法活動などの違法行為を容易にし得る」
https://www.bloomberg.co.jp/news/articles/2019-07-12/PUIA9P6S972901 運営側の無能さが白日のもとにww
商品開発は良いのに経営陣がゴミでした ここに個人情報を預けるのはもう金輪際ないだろうな
セキュリティ管理以前のレベル なんか初歩的過ぎて笑うw
期限に間に合わせるために適当に実装したんだろうなぁw >>1
固定idのおかげで総当たりする桁数も減るんだな。 いいぞ
どんどんやらかして
セキュリティ業界に金を回してくれ >>75
いつものジャップwwwwwwwwwwwww …これさ、脆弱性診断とかやってないの?
設計がアホなのが一番の問題だけど、まともな機関に診断させたら
実際のサービスを始める前に問題は見つかると思うんだけどな これ成立するの?
IDだけ渡して認証するAPIなんてどこのSNSも用意していないと思うんだが。
それとも認証していなくて、存在チェックだけとか? >>79
それあなたの妄想ですよねwwwwwwwwwwww インターネットに詳しい氷河期世代を排除してきた結果、
日本企業は誰もインターネットがわからない状態じゃん 「だってセブンですよ?」
これですべて説明できてしまうw たしか、セブンアイはパスワードを使いまわしにしているユーザーのせいだって
抜かしてなかったっけ? Pay系で撤退はいまのところないと思うけど、
7Payが初の撤退になりそうね >>85
まともな日本人は死んだ日本人だけだwwwwwwwwwwwwwwwww 金持ってるくせにシステムはしょぼいなあ
まあ、簡単に言うと、俺が何かしらのサービス利用でPCでログインして、
用が済んだからブラウザ閉じても、ログイン状態が一定時間有効になってるから
直後に、同じアカウントでアクセスされたらログインしっぱなし状態なんだろ? オ○ニ7とか名前も良くないよな
法則発動しちゃったのかなw >>1
ソフトバンクのPayPayでも総当たり攻撃が可能だったらしいのに・・・
それ以下のセキュリティ? 役員はメールとか自分でできないと思う
そういうのが上に居座ってるのが現状なんだろう >>80
さすがにこれは無理
アメリカならまだしも日本は実害がないと無理じゃね >>90
氷河期世代だけじゃない
天才を殺してきたんだよ、日本人のクソ労働者ドモは >>85
セキュリティーがそもそも存在すらしてないから、
表示「セキュリティーはありません」という文がでて、
「セキュリティーは問題ありません」と捉えた可能性すらあるw レトロ感が半端ない仕様で笑う。
このビット数で暗号かければ今のPCなら1000年かかる、みたいな。 パス無しでログインできるとか
ただの皆で共有できる財布じゃん・・・
誰が入金するんだよ 分かりやすい穴を空けて中国人犯罪者を誘い逮捕まで繋げているんだから大したシステムじゃないかw 結局セブン側に理解している奴が全く居ない事を晒しただけだったな
セブンのシステムは使わないようにしよう このタロウって人、守秘義務違反か何かならんの?
脆弱性の解析って7payに依頼されてやったんじゃないの? 200レスポンス(正常)ならログインパスワード(認証キー)返してたの?
すげーな
ブルートフォース(総当たり排除)もなさそうだし、超高速ID・パスワード検索できますね。
マジで旧日本軍以下だな。 >>105
後は進化するだけじゃんwwwwwwwwwwwww
よかったなおいwwwwwwwwwwwwwwww nanacoも大丈夫?
あのWebログインも前から不安に思ってたんだけど >>1
マジか
こんなの中高の子供でも出来る簡単なクラック手法だろ
これのテストをやってないのかww 普通はデータ的に意味のないビットの方が割合が多くて適当にやってもまず当たらないものだが ファミマに対抗してかなり無茶なプロジェクト組んだんだろうな ここら辺の仕様って規準とか決まってんじゃねーの?
一から全部構築じゃなく、先達が作り上げた遺産とかゴロゴロ転がっていると思うんだが。 >>108
みんなで幸せになろうよwwwwwwwwwwwww >>105
60代どころか50代もpc使えませんがザラに居てそいつらがトップに居座ってるから
つまりは年功序列だから >>87
使用できない文字はセキュリティなの?不安なの? (セキュリティ)開いててよかった セブンイレブン by 犯人 オモニ7前に一度登録してたわ
7payは登録してなかったけど
もう7関連のキャッシュとか来ても使わない方がいいかな
時代に乗り遅れたら7のせいやと思ったる 委託業者のスキルも問題だけど、そもそもクライアントが検品できないって
ある種の思考停止というか覚える気がないのが問題だな。
そんなのが経営の上層部に犇めいていたらそりゃ日本の企業は負けて当然だわな。 >>112
責任者とチームの構成員の顔と氏名と履歴を全部公開して
二度と働けないようにすべき オーナーブラック搾取と言い、セブン終わりの始まりの始まりかもな 流石にわざとだろ
仮想通貨よろしく、金を流すためにやってるとしか思えん >>1
アプリ経由専用暗号化する
アプリ外部ID認証サーバー間で同期チェックする
USER パスワード認証キー暗号化 アプリ経由 3回ミスしたら
発信元探知 おとりサーバーから認証トークンを返す
攻撃元を特定
参加したチーム企業メンバー全員バカってすごいことなんだろう
上には具申できない日和見大企業のサラリーマンの生き様だな >>85
開発者レベルではしているだろ
動くことを前提としたチェックだけ
その外の評価はないだろうなw
で問題あることも知っているし報告した
上に行く途中でどこかでその情報が潰されるか内容を理解できなった
結局見切り発車だろうね やばいぞこれセブンに何かしら登録してる人は全文盗まれる ○○ペイは危険!!
電子決済は勝手にお金を犯罪者に使われます>< >>133
店舗オーナーは非正規労働者を殺してきたクズだ
店舗オーナーが労働者として保護されるなんて許されない 何だ、この会社、BFAも知らないのか? Brute Force Attackの略だよ。
こんなの常識だろ? どこの開発会社に頼んだんだ? しかしすげえな、MACアドレスや端末IDを偽装する必要もなく
別の国の全く関係ない端末でも認証されるとかどんだけ >>133
日本の伝統文化だろwwwwwwwwwwwwwwww
伝統文化を守りなさい >>132
関わってる奴らが全部アレすぎて頭がクラクラするねww おいおい。つまり金銭被害が無くても個人情報は既に抜かれてるってこと? 外部システムに乗っかっときゃよかったのに
遅れまいと急いで作ったはてがこれか 他の電子決済を潰すための自爆テロ説が説得力を帯びてきたな マイクロソフト「もうすぐパスワードがいらない社会が来る」(セキュリティの発達で)
セブンペイ「我が社はすでにパスワードいらないシステム作りました」(セキュリティの解消で)
言ってることは同じなんだが、やってることがすげー違うな。 ハカー:俺ID123456だけどLINEで連携してるんだよ
セブン:(その組み合わせは合ってないな)…ダメ
ハカー:俺ID123456だけどYahoo!で連携してるんだよ
セブン:(その組み合わせ正しいな)…OK、通っていいよ
こういうこと? >>152
露店だってこんな規模でこんな事してなかろうよ これ以下のシステムを作る方が難しいな
みんなプログラマになれる >>125
90年代から仕事で一太郎やエクセルを使ってた世代も今では75の爺さんだぞw これさ、システム会社にすら発注してないレベルじゃね?
専門学校の実習とかで作らせたと言われても不思議に思わないし
むしろ、専門学生の方がましなもん作るわ。 なんとかペイ乱立しすぎだから、これは中止で良いでしょ
こんな汚点ついたらもう逆転の目は無い
傷が広がる前に止めるきっかけ出来て良かったと思わないと >>157
いや、そのレベルにすら到達していないww ブルートフォースは
・5回アタックで遮断
・該当IPをブラックリスト登録
が手っ取り早い。 セキュリティ強化策で、
異常を監視する人を5人から20人に増やしました。
のセブンだからなぁ
何があっても驚かんわ >>99
それと同じとみていい
クレカも上6桁と下1桁は固定
上6桁が発行会社で下一桁はチェックディジットだから コレは犯罪ではないのですか?
少なくとも幇助罪にならないの? 設計したのドコノ会社だよwwww
こりゃ賠償だな
検収あげた? この状況で営業続けてるっておかしくない?全店舗閉鎖するべきだろ これはなんだ。
サンデープログラマの俺でもできるぞ。 昔、銀行プログラムで利子計算の端数を自分の口座に入れて大儲けした奴がいる
と言う噂を聞いたことがあるがそれと一緒で請負会社かプログラマの計画犯罪。 無駄に増え続ける何とかペイ界隈に核爆弾を落としたという点では社会に貢献したな
ありがとうブラックセブン >>130
これ絶対下請けが中国人犯罪者グループにつながってるって
確かに脆弱だけどサービス開始直後から分かるものでもないだろう > つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
いやいやいや・・・もうこれ、わざとだろwwww >>161
バブル当時40の爺さんが一太郎やってたと?
大抵は若い奴にやらせてたろ
そんでバブルはじけて若いのリストラよ >>172
巻き上げられるだけの無能自慢かあwwwwwwwwwwwww >>160
はじめから悪用目的で作ったプログラムと言われてもしょうがないレベル >>150
LINE、Twitter、Facebookの連携があった場合、これらが同一人物だってこと程度は抜かれてるかもな。 犯人は外部ID使ってないけどな
何億もある外部IDで7payに登録してるのなんて1%もいない
さすがにそこまでやる価値は無い セキュリティボロボロでしたすみませんでしたって言って一旦停止した方がいいんじゃないかなあ 3回連続で数時間ログインできないとか対策もないんだね >>177
丸め誤差を自分の口座に振り込む。
サラミプログラミングっていう古典的手口。 >>163
メンツを潰された日本人(日本企業)が、メンツに拘らないわけないんだよw
意地でも独自でシステムを立てるぞ 仮にシステム作り直しても誰が入るのよ、こんなの
一度失った信用は取り戻せない 軽々とあらゆる予想を超えていきやがった
なんて奴だ 今頃、セキュリティ屋とテスト屋がタッグを組んで営業攻勢掛けてるはずww
これは言い値で行けるww クラッキングしなくてもドア開くのな!
シナ人大笑いしたろうなこれ! これさ、担当部署の人間に全く職務遂行の能力無いって事だよね。 中国のスマホはバックドアだけどこれはもはや自動ドアだな >>202
ディオ様ってことだよ。
そこにしびれる憧れるぅー! 先週までは、7pey 7月1日 より、なんてでかい紙を外から見えるようにディスプレイしてたが
今日見たらはがされててわろw お前ら批判だけは一人前だよな
お前ら素人がセブンペイと同じシステム作れるのか? >>202
日本の小学生にプログラムを教えたって無駄ってこと これミートゥみたいな感じか?
仕事ほしさに抱かれて
あとからやられたーと言うみたいな トークンなんの意味があるんだこれ
私は何番ですってパラメータにいれたら即承認して、トークン渡してお好きにどうぞってトークンの意味は時限的に使ってる程度か? >>171
この間の列車逆走とかもそうかもだけど、コストカットと納期を理由にメチャクチャ言ってんじゃないの?
クソ幹部どもが。
現場は「この値段じゃ・・・、このセキュリティじゃ・・・」
クソ幹部「うるせえ、とっととやれ!遅れ取ってんだよ!」
うまくいったらオレの手柄!失敗したら現場のせい! >>1
セキュリティは防御ばかりでいいわけじゃない
やったらやり返される・ 痛い目を見ると、行為者に叩き込む必要がある
わざと緩い応答をさせて、おとりを作り、乗せて、その間に攻撃サーバー
を特定し、攻撃する
攻撃元踏み台 提供プロバイダにすぐに特定させて、その国が国際協力体制の
ない場合、志那 ロシア 朝鮮 Korean など、政府金融機関に総攻撃
かけて軍事ネットワークも潰すべき >>162
おそらくセブンアイホールディング内の情報システム部門が作ったんだと思う
システム会社でもまずこんな設計はしない、たとえ納期間に合わなくても URL偽装どころの話じゃなかった
対策済んでるんだろなこれ? >>203
ジャップ以外にいるのか?
HAHAHAHAHA これ、笑いものにすらならない。
ちょっとプログラムが書けるやつはドン引きして脱力してるぞ >>185
LINE連携で入ってたんだけど、最近PCからのログイン失敗しましたってメッセージがLINEからやたらと来てたんだわ。これが原因じゃねーの? >>181
底辺じゃないと実感がないだろうけど
データ操作関連の底辺作業員は60代が多く50代が最多
デザイン、プログラム保守、社内システム構築とかは高齢化が凄い
入力業務に絞ると70代がゴロゴロいる世界 >>208
素人が作ったからこうなったんじゃないんですかね…… まるでWindows9xだな。
セキュリティーがないためセキュリティーホールはない!
ノードクターノーミスにも通じる哲学。 多分パスワードがあってたら番号返してそれを元にapi叩いてトークン返すってことか
直接叩いても行けちゃうと >>223
世界の笑いものwwwwwwwwwwwwwwwwwwwwwww 今更かよw20年ぐらい前は
こんなのばっかりだったけどな 俺セブン銀行利用しているんだけど、大丈夫か心配になってきた >>65
年齢関係ないから
若くてもジジイでも馬鹿は馬鹿
この会社バカの集まりなんだろうよ 割高のコンビニなんか利用してるから金なくなるんだよ。 社長は別に知らなくてもいいけど技術担当のトップくらいは同席しとけよ >>240
底辺は大変だなwwwwwwwwwwwwwww 「認証」じゃなくて
「認認」だな
とりあえず認める、証明はいらない
「認証」ではない これ今は使えるみたいだが
ホントに保証するのかね?
もーここまでくると中華と作った奴が組んでるのかと感じて来た >>225
うん結局バブル期にはpc使える社内カースト底辺が機械入力させられて
リストラあって底辺のまま年寄りになっても入力してる
pc触らない爺はそのまま権力者になって底辺入力爺をこき使ってる
認識合ってるだろ >>245
> 社長は
別に知らなくてもいいけど
個人的には、
良くないと思うけどね
株主的目線では、その通りだとは思うけどね そのうち銀行も保険も証券も全部クラックされて、金取られるんだろうなぁ。
みんなオンラインシステムになっているし >>234
本当、20年前だよねww
今やこんなのフリーの検出ツール使っても見つけられる内容だもんww インターネット黎明期でももっとマシだったが
時代がローマ時代以下とかそういうレベル。
有史に到達もしてない 未だかつてIDだけでログイン出来たシステムってあったっけかな? >>251
必死だなwwwwwwwww
ただの無能だと認めることが出来ないんだなwwwwwwwwwwwwwwwww これセブンイレブンがスマホ決済潰す為にわざとやったんじゃね?w セキュリティーがザルだと思っていたが
ザルみたいに水すら引っかからなく底のないバケツだった件 内部に犯罪者が入り込んで穴開けてるんじゃないの?
こんなあからさまな失態あり得ないだろ >>162
むしろ、わざとセキュリティー甘くして
日本人のクレカ情報を中国人に盗ませようとしたんじゃないかとすら思えるw
セブンって中国人店員多いしw >>56
自社にとって縁起のいい日にスタートしようとして
セキュリティを疎かにしてしまったのかね >>260
君はponpon-net事件を覚えていないのか?
あれもすごかった。
しびれる憧れるぅー。 サービス開始と同時に一斉にやられた。
開始前から知っていたにきまっている ホールディングスの井坂が自分の保身のために株主最優先で、
あらゆるものに金をかけたがらないから仕方ない ちょっとトレンドに乗り遅れてきたオッサンが試しに日曜プログラムで書いてみたようなのよりもお粗末なんじゃないの おにぎり一個に釣られて40万円被害の裏にこういう問題遭ったとは
笑えないひどい話だ これ開発者わざとだろ?
情報売るとか、セブンに恨みがあるとか
こんなん昭和レベルのセキュリティやん ただ今あなたのアカウントは別の端末でログイン中です
現在の端末でログインしますか?
(なお、アカウント名が一致ている場合、パスワードは不要です) >>275
そっちは
鍵に耳当てたり
感触?が
肝
コッチは、自動 >>277
10円拾って命を落とすのがジャップwwwwwwwwwwwww ちょっとこのセブンという企業よくここまで生き残れたな 上から物凄い短期間でやれって言われて担当者が手抜けるとこ全部手抜いた感じか 逮捕者まだ片手分しか捕まってないんよな!
問題は損害分お店側に請求されないかだわ…
あの711だし気が抜けん。 24時間営業問題やドミナント問題とかセブンは糞なんだな経営陣が
7ペイの失態もうなずける イトーヨーカ堂は、少し前までスーパー界のナンバーワンだったんだぜ >>282
向こうは
ウィーチャットなど
(チャイナ系)銀行契約が
必須 自前実装なんかするからこうなる
firebase authenticationで外部サービスに丸投げの方が遥かに安全 >>290
それなら、自分はフルスクラッチなんてしないww
信用できる物を繋ぎ合わせるww >>35
正面から見るとコンクリート造で厳重なロックに防犯カメラ付き、裏にぐるっと回るとテント小屋みたいな 上が判断出来ない事をいい事に開発がわざとやってるって言われると納得しちゃう >>277
ホントnanacoすら作ったことがない自分を初めて愛おしく思えた 少額で警察届けるのめんどくさいって
泣き寝入りのやついるだろうから
セブンは不正にでも儲かるんだぜ
定期的にセキュリティ突破されると
儲かる仕組みなんだよな >>4
コレ、反社に金渡す為にワザと穴開けとるやろw 口座番号だけ正しいの入力すればどの口座からでも引き出し可能なATMかな >>246
秘密保持契約を締結してるから、出てこないんだろうなぁ・・・ >>1
コレ開発会社も損害賠償レベルだろ
どこが開発したんだ? >>6
あれ?まだサービス停止してなかったの?
セブンの前通っても別のpay宣伝してたから
諦めたと思ったわ >>17
いやお前に突貫で作らせる方がまだマシなものができるだろう
これはもうそれなりに発言力と決定権がある人間の誰かが
セブン潰すためにわざとやったとしか思えん >>287
客がジャップばかりだったからイージーモードだろwwwwwwwwwwww クオリティ低すぎ
セブンイレブンの上げ底弁当並みの水準だな >>297
アカウントもかよw
パスワード20桁近くを頭で数件は覚えておいて、紙面に保存しとくとかは常識だろうが
アカウントまでそれやるんかいw いいかげん一定のセキュリティ強度を担保させる法整備が絶対に必要だと思うけど
いつまで野放しなのか、車売りたいから道交法作りません、死人が出ても知りませんてのと一緒(´・ω・`) >>287
FCオーナーを消費することで
伸びてきたから
それ以外のビジネスは
ザルなんでしょ 内部の人がソース晒したのかと勘違いした
httpだけでこれだけダメってわかるのもすごいな >>309
もう、未経験者可なんて求人し始めた頃からあの業界は混沌と化したw >>125
もっと下の年代でも一緒だよ
挨拶、身だしなみ、時間を守る
出来なきゃ怒られるこれらと同じレベルでIT知識なければ叱責される様にならないと駄目でしょ セブンの看板にATMって書いてあるけど会社自体がATMだな 金庫と書いたビニール袋に大金入れて
路上に放置
こんなレベルだよ コンビニ店員も中国人だらけだから、そのうち客の情報盗んで悪さする手を考えると思う 作った一番末端の人間は「だからこうなるに決まってんだろざまあみろ」と思ってるだろうな
ほんの一握りでも制作サイドにポジティブな動機が残ってればこんなことになってない >>320
何で国会議員にならないの?
国会って知ってるかあ? 仕様決めたバカはどこだよ
セキュリティチェックもザルすぎだろ >>320
ちゃんとチェックしてるだろ
桜田前大臣が 肛門「何者だ!」
うんこ「おならです」
肛門「よし通れ」
くらいのセキュリティレベルってこと? しかもコレが恐ろしいのはセブンのセキュリティ審査をクリアしているという事実 IT後進国やなあ
技術立国とか本当に言われてたのか >>320
普通はセキュリティ強度からそれが突破される期間を見積もればいいんだけど
この件は、駄目だ腹が捩れるwww >>162
>>219
実際のところは分からないけど、一般的な開発における基礎的なセキュリティ設計も出来てないところを見ると少なくとも開発標準のある組織が作ったようには見えない >>6
>>6
しゃちょう『とーくん?そんな奴いた?』 どうせ無茶な納期提示して作らせたんだろ上がまともならこんなの通すかよ >>85
診断業者は本当信用できるのかなとおもうよ
有名なラ○○に頼んで
パスワードアタックするっていうので
リスト攻撃によく使われるPW設定しててら
指摘されなかったぞw >>333
うんこがウンコですと言って通したレベル >>301
上司
「コピペは禁止する」
「なお、自宅での開発は認めない」
「朝9時から夕方5時まで、出社してプログラムを作ること」
「なお、会社のPCはインターネットへ接続できない仕様となっている」
「また、USBメモリなどで外部へのデータ持ち出しも物理的に塞いでいる」
「よって、メモ帳で1からプログラミングして、ソフトウェアを作れ」
「それが、お前たちの仕事だ」
「コミュ力で頑張れよ」
「プログラミングなんて誰でもできる」
「文系歓迎!未経験者大歓迎!コミュニケーション能力の高い人材を希望する」 >>333
その後にえのきがぶら下がってるくらいの酷さ クレ板住人の俺はQRコード系は一切利用しない信用ゼロだからね、案の定これよw
信頼がない点ではイオン系やソフバン系、ヤフー系も利用しない これはもう被害者全員永久にオニギリ無料しかないなあ >>297
それより同じ端末から複数回間違えたら止めればいいだけだなw
response返さずに次から次へ出すとコネクションパンクするまで
全部チェックできそうだな
タイムアウトも必要と
この辺りをはじくのは基本的なのい含まれてるんじゃねえのかな? >>336
言われてないよwwwwwwwwww
自称だよバーカwwwwwwwwwwwwww
日本スゴーイデスネwwwwwwwwwwwwwwwwwww この危機管理とセキュリティ意識の低さはなんか平和ボケ
無知の桜田無能大臣に通ずるものあるがこればっかりは
ほんと賢いヤツなら分かると思うがラインのがまだ遥かに
マシってレベルで大人と小学生って感じだぞ >>333
肛門「何者だ!通れ!」
うんこ「お、おう」 上流工程をどこがやったのか知んないけど
PMは失踪しなきゃいけないレベルだろ >>354
そもそも、基幹が中華製な時点で信用してないw 会見ではセキュリティー審査では問題なかったって言ってたけど、何の審査をやったんだろう? リストアタックなんて原始的な手法を警戒しないなんて
もう仕様にセキュリティ項目が無いのも同然だろう だいたいつじつまがあってきたように思うが
それでも説明できない事例が残っているので
やっぱり認証を迂回できる穴があるとしか思えん。
ここまで穴がある設計だととどめの大穴がないとはいえなくなってきた >>355
斜め上とかwwwwwwwwwwwwwwwwww パスワードですらなかった。まずい設計とひどい実装の欠陥だった。 セブンイレブンはもうガタガタ、
終わりの始まりだな >>358
これ、仕掛けられた時点でアラートも出してないのかね? なーんだ、認証が必要無かったのかーww
それじゃ、不正アクセスじゃないよねー 公開アクセスだもんー >>363
腹筋崩壊するからやめてwwwwwwww 名前を名乗るだけで知っている名前だからと鍵を渡すバカが門番 これは事例として広く周知すべきって
国からも働きかけてほしい
なんなら試験の題材にしても良い 現場「これ、穴がありますよ?」
社長「あっても使わせません!」 経営や幹部クラスがITに無知だとこうなるって見本かな? なあ、ひょっとして今現在もこの仕様で動いてるって事? ポイントが来るとしてもなんとかPayは一切使ってない
第一にポイントなど複数の決済手段を管理できないから
第二にPayに限らず出来るだけ登録アカウントを増やしたくないから >>387
ジャップみたいな門番だなwwwwwwwwwwwwwwwwww 実質パスワードが5パターンみたいなもんか
IDは総当たりすると >>395
自分自身もopenidの提供者になれたっぽいから
ものすごく危ない状態で動いてたとみられる
ふさがってないかもしれん >>372
もう、こんなの何をテストしたってレベルだよww
何をテストしたのか聞かれたら、正常系の画面遷移が出来ましたとしか言いようがないww >>395
今は一時停止しているけど
抜本的に直す訳が無いだろうし… それか間違ってプロトタイプの方をリリースしちまったんじゃないか?
認証に関する部分はとりあえずスタブにしておいて機能要件だけ実装したとか
SVNでとちって古い世代のをデプロイしちまったとか セブンのクソ役員ども、数千万の報酬もらってんだろな
セブンで買うの止めるわ 大手に出せば安心と思ってる顧客
大手に発注しても作るのは2次請け、3次請け、下手すりゃ4次請け
技術者のスキルよりも人月単価が安いことが条件
炎上したら更に人だけ投入すれば良いと思ってる無能が管理職
そんなプロジェクトを思い出した もう日本の技術力じゃお金や人の命に関わるようなソフトウェアは作れないってこった
糞の役にも立たないゲームアプリしか作れない FFTPでログインサーバーにアクセス出来てたりしてw グローバリストどもよ、こういったことが起きてもまだ新自由主義が正しいと言うのか? 開発者はクソ上司と元請けに一泡ふかせてやったって酒飲みながら喜んでるだろうな セキュリティ意識以前の問題だな
悪意があってやったって方がまだ救いがあるレベルの救いようのない馬鹿さ >>26
安倍の名前すら知らなくても行ける
適当な人名を総当たりで
タナカダイスケです サカモトヒロシです スズキカズヤです
ってずっと言い続ければ、いつかは官邸内に入れる誰かに成りすませるって寸法よ >>407
7次受けが開発に混じってる現場を見たことあるよww >>408
小惑星に行く「はやぶさ」を制御するソフトは日本製じゃないの? >>323
コミュ力重視で文系だらけの滅茶苦茶な会社もあるよ 捕まってる中国人ばかりだから、下請けのシナ企業が作ったんだなw >>44
簡単過ぎてクラッキングの練習台にもならない
初めてのネット犯罪体験用かな? >>410
もう、DBやコードの改変すら疑うレベルじゃないかな?ww エンジニア誰も疑問に思わなかったのかよ
ありえねーだろ 店にスマホ持ってくのも取り出すのもめんどくせえ
セブンには防犯カメラもレジもあるんだろうし
顔認証にしてくれ >>418
7次は流石に聞いたこともないwww
でも、あるかもと思えてしまう悲惨な日本のIT現場 >>421
コミュ力で文系歓迎しちゃってるし
スキルのあるプログラマーなんていなくなるでしょ トークンを取得出来てもアプリではトークン使って操作できないだろうから通信を解析して自前でツール作らないといけないよな
それを1日でやったって凄いな >>1
ありえねぇw
仕様決めたやつもソース書いたやつも正気の沙汰じゃねぇだろw どこまでバカなシステムなんだろ・・・
つか、なんで自前でシステム作ろうとするんだろアフォわ >>429
顔認証も怖いわ
こういうザルなセキュリティだと
顔認証のデータが流出とかしそう 仕様のずさんさをチェックできない発注の足元を見られて仕込まれまくりでSIされたなんて誰も思ってないよ
考えすぎ。糞して寝ろ。ハートはニロワ池 うわぁ
2015/11/1のOMNI7サービスイン当時の認証画面に
Facebook
Twitter
Google+
Yahoo! JAPAN
でのログインあんじゃん >>421
そのパターンって自社開発せずに土方派遣専業じゃないの? >>434
中国は凄いよ
日本みたいにIT企業が腐ってないんで
キチンと清華大学の理系出身を重用してるし これ脆弱性があったんじゃなくて単にノーガードだったんだよね? >>447
ノーガードなことを脆弱って言うんだが? >>440
ログインを伴うサービスで、他社と提携してますは信用しない方がいいぞ ここ金ケチりすぎ
最初からケチるっつうか安くなると弱い
すぐ飛びつく
あと何が何でも安くしようとする 制御ソフトは純粋なソフトウェアっていうよりハードウェアに近いからなあ
ハードウェアの設計をした時点でソフトウェアもほぼ仕様が決まってしまう >>426
指摘しても上層部が聞く耳持たなければ意味が無い やっぱりnanaco一本に戻します!って言ったほうが信用されるぞ ナナコって言う優秀な決済システムあるのに、何故こんなもんやったんだ?
これにかかるシステム開発費や経費の分で、ナナコ30%還元セールでもやれば良かったのに。 >>443
そういう指示書に、
仕様書だったんじゃないの?
知らんけど 安くて早いから承認した
セキュティーなど犬にでも食わせておけ
これが7の本質 >>434
7iD側なんで何年も前からこうだったと思われる >>444
中国は理系を重視していて数学がわからない奴は党幹部一家でもない限り人権がないからな あーこれ5ちゃんで指摘されてたけど工作員みたいなのが必死で否定してたな >>347
セブンのセキュリティに関する知識ってそんなもんだってこと 頭の弱い子
シャチョーガー
シャチョーガー
そんな次元じゃないのにね 総当たりでログイン出来るって20年前くらいのシステムか何かか? セブンペイにログインしてないのに、本人が他サービスにログインしてたら
アカウントさえ一致してれば他の端末からもログイン状態になる
これで間違ってないか? >>464
最高指導部は殆ど理系出身だしな
最近は、少し経済系出身者も増えてるらしいけど
胡錦涛の時代は、全員、理系だったりした >>434
通信をキャプチャしてスクリプト化したのを可変値対応するのは意外と簡単だよ
1日もあれば余裕 >>393
経営者が無知なら無知でも構わんけど、最低でも詳しいヤツを担当として雇って権限と決定権と責任を丸投げするぐらいのことはやれよと言いたいわ 末端技術者「お前らが言ったとおり作ったらこうなるんだよ」
品管「お前らが言った仕様でチェックしたらこれは通すしかないんだよ」
トップ「なんだこのガラクタは!」
全員「お前が求めていたものだよ」 https://www.businessinsider.jp/post-194302
今回の7payのシステム開発では、フロントエンドが従業員数3000人弱の大手SIer(システム構築を請け負う企業)、基幹システムは別の大手開発会社が担当している。
開発したの大手だからな これわざとじゃねえの?
なんでこんなんなの?意味不明 >>413
ジャンケンに勝てば開く
何度でも挑戦できる 2015/11/1 omni7 スタート ここからもうダメだったのかも
2018/6/1「オムニ7会員」から「7iD会員」に会員名称が変更、いくつかのサービス統合?
2019/7/1 7Payサービスイン
いつから認証していると錯覚していた? >>1のソースコードってどうやったら入手できるの?
そんなんできるんか? 複数回間違えたらその端末から○分間は入力不可にすらしていないのだから
総当たりしてID入力できますよwって言っているようなものだわな。 もし本当なら
>>476
1時受けが、
大手
だけかと 仕様変更でも納期を変えず金を出さなかった可能性を指摘する人もいるが
分かる技術者ほどそもそもこういう案件に関わらなかったりして
何故ならセキュリティについても「分かる」のでリスクと手間が利益に見合わないから >>442
2次請け中抜き会社だね
奴隷頭って感じかなw 経営陣のクビを飛ばさないとダメな状況
退職金無しの懲戒レベル 下のアルファベットの長さから推測して8桁の数字と
業者の属性2桁さえ一致すれば認証するって頭が悪いにも程がある
ド素人が他社追随で勢いで作るからこうなる >>481
やってることはプロキシーに毛が生えた程度のもの
そんな難しいものじゃない >>481
できるんかって、できたとして、おまえなにするの?w もしかして本来の理由を隠蔽してる?
これより遥かにヤバい理由でとても公表出来ないから… そこらじゅうから、一斉になんとかpayってのが出たけど、やっぱ出遅れない様に急いだんだろうな。 >>1
>>7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
7/11 www
セブンイレブンが地獄に落ちる記念日だなwww 7ペイ入れてないけど、オムニは登録してあった
退会しといたけど、これでとりあえず大丈夫? >>179
セブンアプリは1年ぐらい前からサービスしてるので7pay導入を待ち構えてたんじゃないかな。 >>481
ソースコードが無いと
事象が判明しない
とか
コッチ系の人か >>413
金庫に3ケタのダイヤル式南京錠をセットしているようなもの。
時間制限なし、何回でも入力可能レベル。 メチャメチャ初歩的な脆弱性じゃねーかw
インジェクションですらないな。 >>491
システム側が改変を受けてるかもともとバックドアがあったと判明しても
うかつに公表はできまし >>494
登録情報が消されてる保証はないけどねww これ作った会社の名前が出てこないんだけど
どこの大名企業なんだ? 割とマジで未だに社長にちゃんとした意見言える人いないのヤバくないか 今の御時世どこもかしこも防犯対策が万全で
昔のように無法地帯のようなところはないだろうな…、
この手もダメ、あの手もダメ、いやまさかこの手で行けるのか?
えっ? こんなもんだったの? これはしっかり頂いておかないと!
こういうときめきが発生した瞬間から不正専門の常連客となる。
まだあるかもしれないよ、意外なところにねと期待しておく。 >>407
土建型階層構造の上意下達は日本のシステム開発の大きな特徴であり、弱点かもな
上流と下流が分離しすぎてる上に中間搾取が多すぎる予感
本来はシステムのグランドデザインにもちゃんと開発能力のある人が携わるべきなんだが
中小企業多すぎなんよ日本はさ。所属会社組織が変な身分格差かのように認識されてるせいか、上前はねる非効率な商売が多すぎ 身近にペイペイ騒いでは最近のこの流れに
ホイホイと乗っかった奴がいるのだが
奴、この数ヶ月で激太りしたよ。何故だろう。 これに限らずオープンID使える場合は使ってるんだけど止めた方がいいのか? どこがつくったん?
パプアニューギニアのベンチャーとか? >>503
退会前にテキトーに登録情報変更してもあかんのか? >>494
オムニなんてあからさまに気持ちの悪い語感のサービスなんてよく利用してたな 記者「セプングループのCISOは今回のインシデント対応についてどう考えられてるんですか?」
社長「・・・しーあいえすお?」 えぇ…20年前ならともかく今時そんな設定で突破されないとでも思ってたの?
頭大丈夫? >>481
あ、解析と攻撃ツールのソースじゃなくて
システムそのもののほうか? そのうち念じただけでログインできる脆弱性が見つかるんだろ 金かかってもいいから最強のセキュリティは確保しろとか言わなかったんだろうな >>511
> これに限らずオープンID使える場合は使ってるんだけど止めた方がいいのか?
だろうね
結果に実績としては >>485
セブン
「見積りをお願いします」
詳しいプログラマー・システムエンジニアがいるIT企業A
「セキュリティ面を厚くすると、1億円になります」
文系歓迎でコミュ力で乗り切っているIT企業B
「我が社なら、1000万円(50人月)で作れますよ」
セブン
「A社様
この度は、お見積りありがとうございました。
総合的に判断した結果、今回は発注を見送らせていただきます。
また機会がありましたら、よろしくお願いいたします」
「B社様
是非、貴社に発注したいと思います」
みたいな感じなのかね? >>480
2015の時点では外部ID認証無かった…はず >>434
やろうと思えばブラウザの標準機能で解析できる >>453
ソフトウェアの安物買いなんて結構多くね?
まあ、こんな案件でもソレやったらダメだろうけどw
人件費の占める割合が大きいから、無理やり安くすりゃ、それだけ手を抜かれるだけなのにな >>504
あの会見見る限りじゃ作った会社が悪いとは言いにくいだろうな >>504
スルガ銀行とIBMみたいに血で血を洗う殴り合いに発展しないと出て来ないかな OAuthかあ
まああれ止めた時、これかと思ったけど 最近のブラウザはデバッグ機能がすげーからな、ちょっとしたクラッキングならできちゃうよな >>85
社長曰く、脆弱性テストはやった
まともなテストだったかは知らん >>464
ちょっと違う
あっちは全てに精通してるのが上に立つべきっつう考え
詩を諳んじ楽器はもちろんスポーツ万能身長高く
理系文系じゃなくて全部出来ないとダメ NTT系だと、普通はベラボーな金額じゃないと受けないわけだが
さぁーて >>513
あぁ、それならなんぼか安心
不幸にもDBのロールバックが起きてなければww >>331
> 仕様決めたバカはどこだよ
> セキュリティチェックもザルすぎだろ
仕様でもなければ概要でもない、
エクセル方眼でレポート作るか、
パワポのプレゼン資料を作って、
「仕様書だ!」と言ってるから、
見た目動いてるからOKで、
現場はそれで良いと思いましたで、
テストすらできなくなってるのよ。 >>522
NTTDATAの下請けの下請けの下請けあたりがやったんだと思うよ >>450
いや、ガードする意思があったけどそれを破られたって言うんなら脆弱性だけどこれはそもそもガードする意思自体があったのかから疑問。 >>532
脆弱性がないか確かめるためにプログラム作ったパソコンを軽く叩いてみました!
だったらどうしよう >>494
オムニやばいのか
昔限定品を買うのについ登録してしまった ちょまてよ
システム、素人が見た目だけやった詐欺じゃねえか いやー、
ほんと日本のITゼネコンの諸悪だわな。
SEとか意味ない文系を中間に入れるからこうなる。
ちゃんと情報工学を学んで実績のあるシニアエンジニアを、
アメリカのメーカーとかは社内で採用するんだけど、
日本は無能文系がそのポジション。
その無能文系が社外の無能文系SEと打ち合わせしても、そりゃゴミしか産まねーよ。 さっきセブンイレブンの店で現金でおにぎり買ったけど銀行口座から抜かれてないだろうな。 どこの素人がレビュー通しちゃったんですかねぇ・・・ >>531
無理して昔みたくハッキングは違う!とか思わなくていいんだよ今時わw
ハッキングには悪いハックと良いハックがあるって周知されてきてるから
コンテキストでクラック系のハックなのかそうでないのかわかる時代だし
今時、それはハッキングではなくクラッキングだとか口うるさく言う爺様も既にいないから 1. 認証済みのIDで来るから再認証は必要ありません。
2. そのまま鍵返していいのね。
1の人が想像力に問題あるのは確かだが昔からそんなもんだしな。
上が過信して2にまともなのを就けなかったんだろ。
もしくは1がパワハラで嫌われていたとか。 外部IDじゃなくID、パス使い回ししてない無い人がやられてるんだがら
これとは別の原因がさらにあるはず >>507
技術屋の技術が軽視されるビジネスの仕組みがねそのまま日本の弱点になっちゃってるよね(´・ω・`) ソフトバンクも
実はこっそり、SIerな会社あるよね
しかも大手な相手専門で、ピンハネ丸投げ専門で
他にも、該当しそうなとこを
探しまくろう >>511
おれはそうしている
東宝系の映画のチケット買う時に
YahooIDなど連携あるけど怖くて使ってない
いちいち入力しているw >>4
犯罪者あぶり出しの罠か?と勘違いするレベルのザルシステム・・・
だから逆に今まで放置されてたんだろうなw ITジャーナリストの人がサービスインしてすぐに見抜いて
Twitter上で論理的に説明してサービス停止しろと警告してたのに
2日とめなかったのはなぜなのかな 脆弱性診断も金ケチってツール回して終了のパターンか >>532
その脆弱製テストをやった会社何処だろう?
探りを入れてみるかww >>557
不明瞭な事象で
止めてはならない
という、迅速な
経営判断 設計からありえねーよ
全部外注なんだろ?
末端何次請けかしらんけど。
責任は回避できようもないけど。 これって被害総額いくら行くんだ?
5500万とか言ってたけどぜってー嘘だろw 使い捨ての派遣企業が指摘しても聞く耳持つ訳が無いよ 古くはパチスロにもコナミコマンド的な手順をするとセブンがかかるセットが仕込まれてたんだよな
絶対そういう仕込みをする奴らがいるんだよ 動かないコンピューターでちゃんと大特集してください(´・ω・`) オムニ自体はオムニバスって言葉があるから違和感なかった。
でもオムニバスの語源は乗合馬車なのに対して、
セブンのオムニはアカウントに乗合するって意味だったんだな 内容は違えどペイペイが先にミスっててくれたのになぜ教訓にしなかったのか(´・ω・`) >>562
まぁ、瑕疵保険入ってるだろうから平気だろ(願望 なんかよくわからないけど怖いからセブン銀行に預けてる金
全額おろしておいた マスコミがまったく突っ込まないあたり
作ったソフトウェア会社は業界大手かCMバンバン打ってる会社だろけどな >>504
>>510
きっとみんなが思ってるとこで当たってるんだろうなw >>511
googleとMSだけにしとけ。
ちゃんと社内にガチ勢がガチで作ってるから。 IDだけを見てログインしたことがあればトークンを出すのか
中卒でもそんな設計しないだろ 出版社はコンビニを敵に回してはいけないって聞いたけどマジ?
例えばセブンに喧嘩売ったらそこの出版物は一切扱わない対抗措置がとられるので
売り上げが確実に半分減るって ちょっと前に逮捕された中国女アルバイトは、
仲間からIDとパスワードを教えられたと言うとったようだけど >>575
セブンが発表してないんだぞ日経あたりで読んだ >>553
人売りITとか客先常駐ITとかITの人軽視した結果世界から置いていかれてるんだよ
エクセル方眼紙とかの文系老害の雇用を守ってる結果だよ
システム屋の人って単価低くても高くても所詮は社内の人じゃないから
上司とかはすぐ自動化だのなんだの言うけど色んな部署につながってるガラパゴス業務なんて
説明が大変だよ >>560
追い出した会長職を戻して社長以下現役員を総取っ替えって手もある >>583
そのパターンもあるでしょう
要はいろんなパターンでログインできる >>575
今つっこんでも数日中にもっとひどい穴がみつかるので
行くところまで行くのを待ってるのでは 1次受け企業の名前だせよ
あと行政処分、営業停止レベルの処置をしろ >>585
システムが経営戦略の根幹になるような時代に、コアの部分は買えばいい金出せばいいじゃダメだってことかもねえ
(´・ω・`) 開発に時間かけて他にシェア取られたらなんの意味もないからな、まあ話題にはなったし70点ってところかな 逆にユーザーは新たにアカウントを作るとき
どういう注意をすればセキュリティを軽視している会社だと判別できるんだろう >>426
コミュ力重視、人月○○万以下という条件で集められた奴隷に期待するだけ無駄
社員中心の開発チームが作れない会社に仕事出すのは正直お奨めできない >>583
たぶん原因はこれじゃないと思う
もっとダダ漏れの何かがある セブン&アイ・ホールディングスの第 2 ステージに据えられた「omni7」に、Microsoft Azure を基盤とした Windows タブレット「EM10」を採用。クラウドならではの拡張性とオール イン ワン性を持った接客端末により、変化を続ける顧客ニーズに応える
https://customers.microsoft.com/en-US/story/726766-7andi
>20 社を超えるマルチ ベンダーの中で開発が進められた同プロジェクト
20社以上いるのかよ、どうなってんだよ >>585
自動化は作ってからのコストがすっぽり抜けて考えてる連中が多い
コスト削減なんて幻想だから(´・ω・`) これでもサービス停止しないのかw
経営陣あたまおかしいの? >>545
これに関しては日本の理系文系分けるのがガン
ゼネラリストでもあるけどスペシャリストであるのがいいんだけど、日本は凄い狭い範囲の技術だけしか動きたくない理系と、おもてなし精神とか減点方式の評価で何もないようあまりにもマルチにやる事多すぎで深く出来ない文系って感じになっちゃう NTT DATAなんて個々の機材に対して脆弱性スキャナかけて初期ID変えてパス強度確認しただけでペネトレーションテスト実施済み言い切っちゃうところだからな
ファジーテストもペンテストも未実施だよ
NTT DATAにはインフラ系ばかりでセキュリティ技術者がいない >>597
いつの話で
この件と
どういう関係が? >>585
外注を信用するのは良くない
自社でIT部門を持つくらいじゃないとITの時代は生き残れない お金だけウォーターフォールな案件だろこれ。
納期と金額だけ決まってて仕様は「お客様が満足するまで」、
断るとその後の取引全停止、中小企業庁からのお尋ねはピンハネ会社が書いて戻すという。 >>19
期間もだけど誰がシステム構築したかだよなぁ…
役所がシナに委託してたみたいな悪寒が… >>603
セブンの釈明的には
国策に
政府の意向
みたいよ >>604
2015/11のOMNI7サービスインの時点でこの脆弱性があった可能性があるので
OMNI7開発に20社以上が関わってたって話を拾ってきただけだぞ >>610
全くの不明
否定のプレスリリースも無し >>571
瑕疵保険って、重大な過失でも補償されるのかしら? これだけ信用できないシステムを立て直すのは大変だよ
何処までにもよるが下手すると現行の開発費を超えるかも
最初から作り直した方が早い >>612
つまり
本件の1次受けは
セフセフ
っと つーか今日も仮想通貨関連でyoutubeで生配信やってたけど最近こんなのばっかだなぁ… セブンくらい大きい企業ならアプリ開発・運営の子会社を作っちゃえばいいのにな >>615
だって7iDの情報が全部抜かれている可能性あるんだから
全員再登録だろ ノートンの公式サイトで、無料でダークウェブにメアドが流出してるかどうかのチェックできるけど
こういう中国人が関わってる案件だし、メアドで調べてみると、ヒットしそう セブン金持ってんだろ?
なんでこんなずさんなシステムになんのさ
どこに頼んでんのよ 疑われてるSIはウチじゃないですと言いたいレベルの酷さだな nanacoにバーコード版追加で良かったんじゃと思ってたが
追加してたらこんな事になってたと思うと別で良かったとも思える >>621
人月60くらいで
この仕事のワーカーを
一杯求人出してたそうだよ なんでサービス停止してないの?
ってかなんで政府は業務停止命令出さないの?www 総当り対策してないってどんだけド素人システムなんよ 【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
https://www.businessinsider.jp/post-194302
今回の7payのシステム開発では、フロントエンドが従業員数3000人弱の大手SIer、基幹システムは別の大手開発会社が担当している。
3000人規模で探してみたら、CTCしか見つからなかった。他にもある可能性は高いので、教えてくれ。 >>621
それな
パニックになるからわざと言わないのか
SNSログインした人は抜かれてると思ったほうがいい 無知な上層部が金を出さないから、ハリボテシステムになったんだろうな >>184
そうです 経営陣の頭は
ザルというレベルではなく
サルなんです >>613
ありがと。
何にせよ今もまだ、関係各社で責任押し付けあってるのかな… >>195
グルってことさ
サービス止めたら侵入できなくなっちゃう
それは約束違反なんだろう >>634
SNSログインじゃ無い人も抜かれてるから >>633
プロパ3000人と言ってるわけでなく
そもそもプロパ3000人って いつもだと日経なんたらにそろそろ開発会社とかを含む体制の記事が出るころなんだが、
この件ではかなり自重してるな 外部IDとしてTwitterを使っていて、Twitterが垢バンされたらどうするんだろうな… 別にもう誰も使ってないだろう
セブンにはペイは早すぎた
早漏だったんだよ >>26
「ジミントーの12番目の議員ですが…
「ようこそ森元さま。2階会議室の6番の席へお座りください。昼食サービスはいかがされますか?お荷物を預かっておりますお受け取りください。代金はいつものカードでお支払いいたします。 SIerは看板料で商売してるのであって技術で商売してないから(`・ω・´) >>621
可能性の話じゃなくもう既に全部抜かれてる >>592
パスワード忘れましたと言って教えてくれるところ
パスワード忘れたとき秘密の質問で変更できるところ
メールアドレスがユーザーID代わりになるところ
パスワード平文保存していたSNS(Facebook,twitterなど)のIDでログインできるところ ま、クズSIerが、マイナンバーやネンキンの情報に関わっていないことを祈るのみ。 日本のITなんてこんなもんだ
IT土方と評されるような扱いを受けてきたから
低レベルな人材ばかりになり、低レベルな仕事しかできなくなった
まともにIT系開発・運用したければ北米系の企業に発注しろ
おまえら優秀なんだから英語くらいペラペラだろ >>632
大手有名セキュリティ企業に監査を頼んだら、総当たりどころかリスト攻撃耐性チェックもしていないと、上のレスにあった。
総当たり攻撃 Brute force attack・・・全部のパスワードを試してみる
リスト攻撃・・・・今まで流出した色々なパスワードで試してみる。1234とか簡単なものからa56YR25Hd746szmみたいのまであるが、総当たりより早い。 >>603
payは経産省主導
電子マネーをオリパラを期に定着させようとしている
pay系はクレカのようにICカードと読み取り端末に金がかからないので拡大しやすいと思っている
セキュリティ監査も認証も一切ない
クレカは金融庁管轄であり、事実上の世界的標準であるPCI DSS規格で実際には第三者機関による監査と認証が必要なため、セキュリティレベルは高い 日本は糞の役にも立たねえゲームアプリを作る能力しかねえんだとよ 銀行が金庫を4桁のダイヤルロックで施錠してるレベル >>657
経営者は英語を読むことすらダメなやつの方が多い 大手の企業は自分のところでWebサイト運営、アプリ開発・運営の子会社持った方がいいよ 一切使い回ししてないのが漏れてんだから
こんな面倒な事するまでも無く全部漏れてるだろ
さっさと発表しろや糞セブン 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳。
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話 私家版
続法窓夜話 私家版
https://twitter.com/0Idm3vd9TYmFDaQ/status/1144182365134061568
(直リンNGのためtwitterが開きます)odn
https://twitter.com/5chan_nel (5ch newer account) 国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室。
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
その上、最低不倫女の安室
↓
安室の不倫相手、安室の直ぐ近くに引っ越してきていた!↓
http://www.excite.co.jp/News/entertainment_g/20170929/Cyzo_201709_post_22470.html
安室奈美恵ルール違反! 羽田空港の身体障害者用乗降場から乗車(東京スポーツ)
https://toki.5ch.net/test/read.cgi/musicnews/1304718603/
↑
過去にもこんな最低な行為までしでかしているクズ女安室
ライジング事務所の平哲夫が脱税で逮捕された際に平は業界人を売らなかった
その功績で平の出所後に安室は業界から持ち上げられただけ。
特に悪質な違法行為していた日テレ関係者の安室への忖度が酷い
要するに極めて下らない、業界の裏事情で安室は持ち上げられただけ。芸無し安室の実力なんて全く関係ない
ヤクザ事務所のライジングを業界から駆逐しましょう!そしてヤクザライジングと癒着している日テレ関係者も逮捕に追い込んでいきましょう!
↓
http〇://moyasi24.co〇m/2551.html
平哲夫の小指や脱税逮捕や悪評とは?西内まりあビンタの原因は?そもそも事実?問題ありすぎ!
.
.
障害者を不当に入場拒否して、謝罪もしないまま芸能界から逃げ出した安室は人間の屑
運営トップのステラ88の取締役である安室が謝罪するのが筋
謝罪一つ出来ない安室という女のクズな本性がより強調された
↓
安室さんコンサート
療育手帳で入場断られ…「取り返しがつかない」憤りの声 毎日新聞
特別扱いで免許とった安室最低
↓
東京都公安委員会指定の池上自動車教習所(大田区大森南5、田中忠治社長)が、タレントの安室奈美恵さん(20)に
営業時間外の技能教習を受けさせるなど便宜を図っていたとして、都公安委は29日、同教習所の行政処分を行った。
公認教習所が道路交通法に基づく処分を受けるのは異例で、同委は「タレントを特別扱いすることは免許制度の信用性を損う違反行為」としている。 (9月29日・毎日新聞夕刊より)
.
.
.
注目!土下座引退した負け犬安室がまたまた往生際の悪い、恥知らずな引退商法やってるよ!
↓
セブンイレブン沖縄初出店!沖縄フェアに安室ちゃん公認キャラクターeminaも登場!
http〇s:/〇/namie-lovers.com/news/2241/
>クリスマスで見納めかと思っていた安室奈美恵 公認キャラクターの”emina”も再登場です!
.
51545 5chは既に在日チョンに買収されているのをご存知ですか?
↓
http://irohamatumae.blog.jp/archives/19087374.html
2chの譲渡先、5chの代理人弁護士は通名のしばき隊員
【民主党=立憲民主党の正体】
韓国民団生野支部での民主党議員の挨拶【在日参政権を約束】
http://www.nicozon.net/watch/sm9751328
菅 直人(民主) 日本人拉致犯 シンガンス釈放署名
江田五月(民主) 日本人拉致犯 シンガンス釈放署名
千葉景子(民主) 日本人拉致犯 シンガンス釈放署名
岡田克也(民主) 「拉致被害者を北朝鮮に戻すべき」と主張
岡崎トミ子(民主) 慰安婦への謝罪と賠償法案 8回提出
福山哲郎(民主) 陳哲郎
白眞勲 (民主) 元韓国籍
土肥隆一(民主) 朝鮮京城に出生
中井洽 (民主) 吉林省長春に出生
辻元清美(民主) ピースボート創設(北朝鮮組織)
辻元清美(民主) 「私は国家の枠を崩壊させる国壊議員」
有田芳生(民主) 嫌韓デモの法規制 「ネットで書いたら逮捕!」
末松義規(民主) 「在日朝鮮人に選挙権を与えよう!」
角田義一(民主) 朝鮮組織から献金 2500万闇献金疑惑
前原誠司(民主) 「外国人参政権を成立させる」と民団で約束
安住 淳 (民主) 大震災の年に「韓国に5兆円支援」の財務大臣
山岡賢次(民主) (「金賢二」、通名は「金子賢二」、後に「藤野賢次」→「山岡賢次」)
.
.
3016423056+12 韓国に対して 物言う吉本芸人を排除したがっている芸能界とマスコミの在日チョン勢力の手管が卑しすぎる!
ヤクザバーニングみたいなチョン系のヤクザ事務所のタレントこそ排除しよう!
ヤクザバーニングの庭の演歌界こそ、もっとも反社と強く繋がっているのに、一向に演歌界に飛び火しないどころか、吉本叩きの様相を呈してきてて、不自然すぎる!
演歌歌手がヤクザと写ってる写真なんて腐るほどあるだろ!
国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室のバックのヤクザバーニングを叩き潰そう!
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
醜悪な引退商法して無様に芸能界から逃げ出した負け犬安室のバックのヤクザバーニングを業界から完全に干しましょう。
メディアや芸能界が反社会勢力と繋がっているのが許される時代ではありません。バーニング系と癒着しているメディアの人間もどんどん逮捕していかないと
ヤクザバーニングは北朝鮮系です
あいみょんや新垣結衣や羽鳥慎一や北村一輝や島崎遥香といったヤクザバーニングのタレントを二度と起用させないようにしていきましょう
↓
http://www.officiallyjd.com/archives/430854/
宮根誠司、羽鳥慎一らが所属するバーニング系列事務所の黒い噂…肉弾接待、枕営業、所属タレントらも関与か
http〇s://hay〇abus〇a9.5〇ch.net/test/read〇.cgi/mnewsplus/1559599625/
【俳優】北村一輝はなぜ韓国「反日映画」出演を決めたのか?
htt〇ps:/〇/ww〇w.excite.co.jp/news/article/Cyzo_201504_post_18343/
「“芸能界のドン”は宅見組長が育てた」バーニング周防郁雄社長と暴力団“黒い交際”暴く衝撃ブログ
htt〇ps:/〇/hayabusa9.5〇ch.net/te〇st/read.cgi/mnewsplus/1563257041/
【元AKB48】島崎遥香、電車の優先席に座る会社員に苦言「韓国は素敵だったな〜健康な若者はみんな立ってた」★3
エイベックスもヤクザバーニング系です。エイベックスのトップの松浦の暴力団を使った脅迫行為など上場企業のトップとして決して許されません
↓
https://www.excite.co.jp/news/article/Litera_2781/
エイベックスの問題はブラック労働だけじゃない! 金、パワハラ、暴力団を使った恐喝...背景に松浦社長の体質が
業界でもっとも黒い事務所と言われているライジングもバーニング系です。
ヤクザライジングのタレントを起用させないようにメディアを監視していきましょう!!
特にヤクザライジングと癒着が酷い日テレ関係者を逮捕に追い込んでいきましょう!
↓
http〇s://noma66.co〇m/womantalent/1743/
西内まりやの元事務所ライジングの闇!脱税やヤクザの悪評に圧力の黒い噂?!
.
.
【芸能】佐藤浩市が難病の安倍総理を揶揄し炎上 ネット「ダサい人…」「脚本を変更させ反体制気取ってる頭の悪さに驚いた」 ★4
売国左翼の佐藤浩市を起用している反日企業を叩き潰そう!
佐藤浩市を起用している反日企業はこの三社です
↓
CM キャノンマーケティングジャパン
CM 三井住友信託銀行
CM コカ・コーラ『特選 綾鷹』
5252056+24 >>621
クレカ情報とかも抜かれてるんだろ?
何で発表しない上に運用を止めないんだ? もういいよ
7payは失敗だから誰も使わなければ問題ない 自民党に
政治スレとは打って変わって
スクリプトさえ無いという >>673
お約束のセキュリティコードを平文で保管とかやってないかなww (´・ω・`)いや〜キャッシュレス化の出鼻をくじかれて、現金主義がまだまだのさばれるよwww >>673
日本企業のメンツ優先・隠蔽体質を知らないとは言わせない あと、この手の企業はテロやってるのと同じだから市場から追い出した方がいい 最近のマシンは高性能だから総当たりできちゃうよ。
だからパスワード意味ないって
数ヶ月前に誰か言ってたよね。マイクロソフトだっけ? ID総当たりでアタックかけるって古典的な手法だけど、まさか『当たり』が来るとは思わなかったろうな >>618
反社系のマネロンに便宜図って利益供与でもする腹積もりだったんですかね
横から中華に電子タバコ買いまくられたけど 開発期間短縮のため、ベンダー側からセブン側に承認取ってこの仕様で進めた可能性もあるね。 >>680
善良で無垢な善人が悪知恵に長けた悪人に食い物にされた
というスキームで責任逃れするフェーズに入ってる >>668
おれはメアド以外一切使い回していない。
パスワードは256Thw364ek4みたい。秘密の質問も滅茶苦茶・・ペットの名前は?突き抜けるメルポン258みたい
ずっとオムニ会員だが、まだ不正使用はない。
オムニだけの会員のセキュリティは裏からは破られていないと思う。 >>688
これにしか使ってないIDでもやられてるから
全部盗られてると思った方が良い >>691
レジで並んでる後ろの客はイライラするんや >>689
ベンダーとしては工数多い方が儲かる
工数削減提案はしないだろう
とくにセキュリティー絡みをゆるくするような提案はベンダーの責任問題になるので決してやらない セブンカードプラス解約しようと思っていたが、とりあえずしばらくは保有しようと思ったわ。 だってセキュリティホール有るフレームワーク使って
素人(研修3ヶ月)が作ったシステムだもの >>661
ソシャゲ会社はなんだかんだでエンジニアにちゃんとお金あげてるし労働環境も良いからね
それに引き換え、大手SIの下請けの労働環境は最悪
開発力に差が出てきてるんだろう >>682
アクセス制限かけろよ。1日100回とか1000回でもやみくも攻撃が困難になる。
キャッシュカードなんか、暗証番号何回か間違えると、金が下ろせなくて困るぞ。 >>24
3000人近くいて、どうしてこんなことに… まともにコーダーすらやってないような、なんちゃってSIerばかりだからだよ >>32
本当なら、今回の事件を起こすのは必然だな。 >>705
牛の糞で家立ててるアフリカの職人が3000人いてもビルは立たない >>695
期限最優先と言われ、かつリスクを含めて発注元が承認するなら無いことは無いと思うけどね。
リリース後にこっそり少しずつ穴埋めしていく予定で。 セキュリティの落とし穴は嵌まると大変だよね
過去、色んな会社がやらかしては勉強してきた
経験浅いSEやPMでは優秀な奴がいても難しい もうさすがに1回サービス止めろよ
あのセキュリティがザルな社長が強行してんの? 本当は誰が作ってるのか容易に見えない」ってこと自体がもう(´・ω・`) >>32
まじか〜
せめて朝日新聞みたいにメタタグ仕込んどけよ 出し子がつかったパスワードをどっかからもってきたかよくわからんな。
これも覗き見ツール的なものでみれてたってことか。 おまえの預金がキャッシュレスになるぜっていうセブン流のジョークだろ >>702
富○通の下請けで働いてたことあったけど労働環境最悪だったよ
一部屋に何百人も人を押し込んで人の体温で部屋の中は蒸し蒸しするし、支給される(有料)弁当は小学校の給食を思い出すような不味さ
仕事内容も効率の悪いことばかりやってるから全体の開発スピードもクソ遅い
俺は3ヶ月で逃げ出すように辞めたが >>709
ベンダー提案では決してやらない
ここを削ったらその分早くできますよ、安くできますよ、という情報を耳打ちするくらいはやるが
あくまでも顧客要望、顧客の要求仕様ということにする >>718
人月の神話を信じてる職場はそうなりがち
逆に少数精鋭で効率的に高品質なシステム開発をすると
人月が減るので顧客に値切られてしまう
非効率な方が儲かる業界なんです セブンはどこに依頼して作ってもらったん
大金払って依頼してこうなった場合作ったとこってどうなるんだ ド素人ですいませんが、今時のフレームワーク使って開発すれば
認証認可回りも適切にやってくれるもんではないの? >>716
どこかの通信教育みたいに、丸ごとUSBで持ち出したとか。
探知不可能なマイクロSDを使えば1TBクラス10で8000円。 >>4
ハニーポットでももうちょっと複雑にするだろw 設計者がわざとやったことを疑うレベル
>>723
今時の「どの」フレームワークの話? いまさらだが記事見た
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_zu_v1-w1280.jpg
俺は
端末――API1――7pay――API2――7のメインシステム(オムニ7)
であって、API1とAPI2を介した場合様々な整合性の問題があるからそこをさぼっていたと思っていたが
端末――API1――7のメインシステム(オムニ7with 7pay)
なの? >>677
アタッカーもベンダーも華為技術じゃないのw
完全に乗っ取られてるっつーの
オムニ売国プロジェクトww
蹂躙されまくりやwwwwwww
597 名前:名無しさん@1周年 :2019/07/16(火) 20:55:11.26 ID:sdWeiqO+0
セブン&アイ・ホールディングスの第 2 ステージに据えられた「omni7」に、Microsoft Azure を基盤とした Windows タブレット「EM10」を採用。クラウドならではの拡張性とオール イン ワン性を持った接客端末により、変化を続ける顧客ニーズに応える
https://customers.microsoft.com/en-US/story/726766-7andi
>20 社を超えるマルチ ベンダーの中で開発が進められた同プロジェクト
20社以上いるのかよ、どうなってんだよ >>663
セブン銀行は大きな不祥事聞かないな
別の会社に依頼したのかな >>569
なるほど1つのIDを複数の人が使えるんですね いくら発注側が馬鹿で経営陣が無能でもこんなもの世に出したらダメだろ
SIとしての矜持なんて期待するだけ無駄か 中韓業者マル投げ
移民と多重派遣のサンドイッチやw お詫びで7ペイなんとかなるまでは、ナナコのポイントつけるの100円に戻せよ >>731
OAuthから帰ってくるID(アカウントID?)を見るだけでチェックせずに認証済みトークンを返してたんじゃね?
本当ならOAuthから帰ってくるtokenなりをサーバー側でOAuthログインされたかどうかチェックしないといけないのにそれをしてなかったとか? >>23
上層部で着服以外なんかあるか?
上級国民がなんで儲かってるか考えればこんくらいの答えはすぐ出るだろ 絶対はないからシステムに問題が出るのは仕方ないけど
即座に停止するべきだった
初動を完全に誤ったな もう失格だろ
サービス停止でセブンイレブンの経営権も剥奪しろ >>736
ん〜〜
ここまでレベルが低いとライバル視されないでしょ
というか、これから先セブンのネットサービスなんて誰も信用しなくなるから
この分野は考えなくても済むんだって撤退方向でポジティブにとらえて欲しいなセブン本部には セブンネットショッピング事件ってあんまり覚えてる人いないのかな >>724
技術者や運営が相当やしまれているとおもうけど、被害届ださなければ捜査もされないっぽいわな。
「ぜんぶ弁償するからいいだろ、ほっといてくれよ」みたいな話になってるし。
しばらく正確な情報はでてこないかもな。まあ絶賛捜査中かもしれんが。
セブンイレブンのシステムが雑とはいっても、7iDの通信を監視している人間はいるとおもうし、
総当りすれば、アカウント情報が抜き放題だった、ってちょっと信用しがたい。 米中貿易戦争は停戦
売国草刈り場www
7ペーで分断w 表門だけIDとパスを要求して、検索したページからは入れちゃうとかあるもんな。
金銭関係ない業務用ホームページだけど。 >>721
まあ日本全体がそうだけどね
効率よく仕事をするよりだらだら残業した方が給与が多い おにぎり2個貰って残高ゼロにしてやったわ。クレカももちろん非登録。
スーパーハカーかかってこいよ。 これ7payに登録して無い奴でも、ID総当たりでツイッターやフェイスブックのパスワードを探知できるって話じゃないのか 7payだけでなくオムニ7自体だめじゃんと思ったら止めていたんだねw
俺は7payだけ止めていると勘違いしていた
SDK見れば7pay以前にわかるレベルだよなあ
ベンダーからは何も言われなかったのかなそれとも理解できなかったのかなあ
正直想定の上を言っている
セブン&アイ・ホールディングスは7月11日、リリースで11日17時をもって
外部ID(Facebook、Twitter、Google、Yahoo! JAPAN、LINE)によるログインを一時停止したと発表した。
今回の外部IDの遮断対象となるのは同傘下の総合ショッピングサイト「オムニ7」をはじめとする、
「セブンネットショッピング」「アカチャンホンポ ネット通販」など「7iD」経由でアクセスするサイトすべて。 >>6
サービス停止しちゃうと実績積めなくて何かの認定から外れちゃうんだっけか オーナー締め上げてぼろ儲けしてたくせに、利益は開発に全くもって還元されてないんだな
金は誰のポッケにナイナイしちゃったの? >>1
これ中華にアプリ作らせてたんじゃないのか? >>4
さすがにこれ以上はないだろ
もう思いつかないよな?w >>762
それ、2chの妄想。
日本のNRIが作ったのになぜか中国のせいにしてる。 鬼斬買ったとオモタら華為に売られてやがんのおまえらの個人識別情報w 7IDに接続してるしてるの全てヤバいと思った方がいい
もともと7ID自体脆弱性が指摘されてたんだろ システム作った奴アホ過ぎるし
これでGO出した奴もおかし過ぎる
ワザとじゃないか疑うレベルでお粗末 早くなんとかしないとセブン銀行まで嫌われてしまうぞ 他の記事だと
本来は可逆じゃないからハッシュなのに
ハッシュから可逆で平文パスワードが抽出出来るとか セブンアイホールディングス
↓
セブンイレブン
↓
セブンペイ
って会社の関係性だっけ? サービス停止すると致命的な欠陥があることを認めることになってしまう
だから、致命的な欠陥を認めた人が責任取らされる
だから誰も認めない、責任負わない
これはもうダメポ、とわかっていても強気なポーズをとる 自民選挙を賭博業が支援/パチンコ族比例候補を擁立/モラル底抜け ギャンブル規制を敵視
http://www.jcp.or.jp/akahata/aik19/2019-07-14/2019071415_04_0.html
↓
>自民党は21日投票の参院選で、パチンコ・パチスロ業界が支援する初の“パチンコ族”候補を比例代表に擁立しています。
限りなく違法に近い出玉の換金を行うグレー(灰色)産業にまで依存する安倍自民党は、もう「底抜け」です。」 >>1
ガバガバガバナンスwwwwwwwwwwwwwwwwwwwwwwww よー解らんが
ID総当たり×生年月日総当たり>ひっと>トークン返す
みたいな手法? そもそも、こんなにコストのかかる電子マネーやらってやる意味あるんか?
逆に不便だわ、ポイントだのペイだのの最近の流れ。 どれくらい情報抜かれたんやろ
ログがないから分かりませんとかいうのかな 有名な大企業だから経営陣は優秀なんだろうと思ったら大間違いよw 少なくとも
OAuthの決まり事を、全く守ってなかったのは
ファクトみたいね >>781
決済手数料が大きくて自前で開発したいんじゃない?
ただ使える場所が限定されてると、そのうち誰も使わなくなると思うけど。 決済の仕組みすら理解してない施工がアホみたいにペイペイ推進したからこんなアホな事になってるんだろ
施工を死刑にすればいい >>1
いや、そもそも、総当たりって何だよ? 3回間違えたら数時間利用できません、監視の目も更に厳しくなります とかじゃないのかよ・・・ 多分セキュリティの実装経験が無い開発者が作ったシステムだよ。
何故今まで不正にさらされてなかったのが不思議。 >>116
ニート乙
今はどこも経費削減必須なんだから無駄に工数を割けるわけないだろ ネトウヨ「むむっ、これは日本人の設計じゃないなっ、シナかチョンのテロだなっ」
↑これ見てシナチョンに陥れられたセブンに同情してるけど、合ってるよね?(´・ω・`) >>1
ニュースだと、今原因を究明中だそうだ。
原因があり過ぎて大変そう。 いくらセブンのトップが無能でも
一応本職に発注してシステム作ってるんじゃないの?
まさか中国みたいにすべて内製なの? >>801
???「よくわからないエラーは『仕様です』と言え、全部だ」 ???「もうこの際、動かなくても結構だ。笑顔で納品して来い」 30年前にテレカ偽造してたイラン人でも突破できるんじゃねの? >>802
悪意のある在日企業とかに発注しちゃってるんじゃないか?
ここまでくるともうワザととしか思えん 被害額はコンビニオーナーに転嫁すればいい
そのためにコンビニオーナーを飼ってるのだから >、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
結局、オムニに無理やりペイ機能をつぎはぎでつけたのが失敗だったな
投資をケチったばかりに信頼もお金も大きくなくした 「システムの年間維持費が◯億円だと?そんなにかかるのか!
ん?なんだこの2段階認証っていうのは?1段階でいいだろ?ん?
1段階少ないならその分安くなるだろう?」
こんな会話があった気がしてならない セブンのおかげでペイ全体が信頼を失ってスイカとパスモが得する これは酷いな。
こんなのが商用で動いてしまうのか。
設計者首だろ。 ソフト屋に新人研修で作らせて、
セブンの受け入れ担当も新人研修。
そうでもない限りありえない。 儲けてるんだろ?
出す前にセキュリティに金かけないともうこんなんじゃ誰も使わんぞ(´・ω・`)
何でもかんでもケチってると大損するぞバーカ脳みそ詰まってんのか? >>639
被害報告見てると登録したクレカチャージ用のパスワード(ログイン用とは違うパスにしてる)も丸見えになってないと辻褄が合わないんだよね。
根本的に外部から丸見えになってたんじゃないんだろうか。 いつ使えるようになるのよ
のろますぎ 7ペイって鳴らしたら無能みたいにみられるじゃん >>817
被害報告がなんかわからんが
ログインさえしてしまえば、登録してるクレカから自動支払いって機能は普通にありそうだが >>810
社内システムはこんなのよくあるだろな
公開サーバでは絶対やっちゃいけないやつ もう携帯会社のお財布ケータイでええやん
7payとか詐欺師に貢ぐシステムにしかみえない セブンブランドで釣ってこんな物を公式が使わせてくるとか
ウィルスアプリよりたちが悪いなw LOFTとnetprintとか7&i系のアプリ入れてるな。
LOFTは7iDだし。 まあ、外部IDのアカウントもおもらししていたって可能性たかそうだけどな。
7pay(7iD)のパスワード変更されてのっとられたという形と パスワードそのままで、出し子といった犯人と
ログイン合戦を繰り返した、といったケースが一番初期のほうにでてきたし。
手口の可能性は無限大!
クレカのセキュリティ強化の設定も、パスワードかえたら、カードの登録内容リセットしなくちゃダメなケースだろうに
ことごとく穴をつくっている形。 むしろ、こういう設定をほとごすほうが難しいとおもう。
IT版のバイトテロみたいな話もうたがってしまう。 >>301
これがでかすぎるわな
要するにに自分で書くのがいけない >>823
そりゃそうやろw
というか公開しててもクーポンがでるだけとかならべつにいい
一つ浮かんだのがこんだけ大規模案件になるとAppleはなんも突っ込んでこないんだな
個人開発にはガッツリ突っ込んでくるのにw 「1人につきおにぎり2個までで登録者数○百万人を目指せ」
とか無茶なノルマ課されたら、もう7iD取り込むしかないわな
と言っても既存のアプリにポン付けで決済機能を実装するなんて正気とは思えんが こういうのってリリース前にホワイトハッカーにチェック(デバック)してもらったりしないの?
ホワイトハッカーなら速攻で穴に気づくよね? >>822
オレが見てた人のツイがまとめになってたw
https://togetter.com/li/1372699
クレカチャージは都度パスワードが必要みたいだけど、数字だけの簡単なものでこれも総当たりで行けちゃう状態だったのかも >>831
だって組み合わせても独自機能を入れろここをカスタマイズしろっていってきて
結局フルスクラッチと大差ない改造が >>796
お金とは関係ないからやろ
ただ住所などが漏れるだけ
だからもれてもきづいてない こんなセキュリティ意識の低い所がやってる銀行に金を預けてる奴がいるとかマジかよ よかったセブンイレブンなんて実質ねあげしてから1回も行ってないwww >>835
訂正、クレカチャージのパスはアルファベットか数字で6文字以上の縛りだったみたい >>835
オレもクレカを昔不正使用された事あるけど、クレカ会社の対応ってびっくりするほど丁寧で手厚いんだよな。補償も全額された。
クレカは信頼が第一って事が業界全体で徹底してるっていうのがわかる。
アプリペイは最低クレカ基準のフォローをしろと言いたい。でなきゃ誰も使わねーよ >>843
普通はそれで十分だな
不正検知のシステムもあるから
総当り自体が現実的ではない >>1
えっ?は?
つまり外部idにログインした状態で、クッキーなんかに埋め込まれたid数列を書き換えれば、好きな7payアカウントを奪取できた…?だ、と コレ絶対運営と犯行グループで結託してんだろ
なんたらpayが全部その手のものにしか見えねーわ この手の話って難し過ぎてわけわからんこと多いけど、今回は何となく分かってしまうくらい単純な突破されてるわけだ しかしホワイト気取って内部情報を漏らした行為は、鎮静化したあとに犯罪者として起訴される自覚はあるのかな?
マスコミは善意の第三者だろうが、内部漏洩は機密漏洩でしかないぞ。 みんなセブンアンドI
だから安心して 7payやったんだろうけど
おれやってなくてよかったw 要約すると?
オモニ7に登録されていた利用者情報は
以前から駄々漏れで、その情報を利用されてしまったと?
オモニ7もアウトじゃん マンションで鍵が掛かってない部屋を手当たり次第に見つけて侵入するくらい簡単なお仕事 これシステム作ったのが
1 >>848
元々、情報抜く為のシステム+犯罪組織が内部に入り込んでるか
2 >>810
まさか社内で少しITわかります的な発言した人が犠牲になって
業務外に給与にプラスアルファもなくHPとか作らされる、まさかの中小企業クオリティで作らされた、とかな…
どっちだろう? 企業へ被害を与えることを何となくジャイアントキリンぐみたいに正義執行!と勘違いしているようだが、
経営者と資本家も同じ人権と保護を持つ人間の集団であることを忘れてはいけない。
この行為(マスコミリーク)は、単なる炎上煽りの業務妨害でしかない。
そのことは、是非とも忘れないで頂きたい。 つまり法律は本質的に金持ちを優遇し保護する性質を持つ。 >>814
中小企業でよくある「IT少しわかります」人材に
何でもやらせてHPから何から全部、通常業務そのままで
「早く作れ」だけでけちって作らせてこうなりました状態とか?
犯罪組織でも、いまどきもっとまともに作るという気が なお、気がかりなのは、鈴木淳也氏の記事で紹介した不正利用被害者のケースだ。
外部IDを使っておらず、「7iDのみで使用している16桁のパスワード」と「7payチャージ用に設定した7iDとは異なるパスワード」の組み合わせでハッキングが行われている。
少なくとも、今回の外部ID連携の脆弱性では、こちらのケースの不正被害は説明できないことになる。
まだこっちの大問題が残ってるわけで 単にログインしてもクーポンが使えるだけなんじゃ
決済は6桁?のパスワードが必要
パスワードを人に見られない限り安全 >>835
3Dセキュア回ってない時点で、ログインと同じ症状な気が >>834
そんな時間があれば最初から潰されてるだろうな >>861
気掛かりも何も手口は同じだろ。
7べ赤に外部id連携がされているかは、無関係たろ、これ。
つまり、Googleゴキブリ赤でログインしたブラウザで7ペにログインを仕掛ければいい。
そのときに外部連携していない7ぺ赤のieだろうと、これはログインできるだろ。
外部連携停止だろうと、クロスサイトインジェクションは対策してなさそうだし。 流通大手なのに何やってんだか
どこが受けたんだか興味あるな 本来、こういうのは、一部機能の停止ではなく全サービス停止してテストフェーズに戻すのがデフォ。セオリー ●セブン銀行「ATMに50万円入金したら31万円しか計算されなかった。19万円帰ってこない」★6
https://asahi.5ch.net/test/read.cgi/newsplus/1556021273/
43名無しさん@1周年2019/04/23(火) 21:22:05.96ID:LmBp3xTy0
機械が読みとらずに
十数万少なくカウントされた事ある。
人を呼んで事なきを得た。
132名無しさん@1周年2019/04/23(火) 21:47:43.44ID:U3MiyxHw0
入出金系機械のメンテナンスをした事がある身としては
機械は所詮機械でそれ以上では無いと言う事。
勿論ある程度のフェールセーフ機能は働くが完璧では無い。
149名無しさん@1周年2019/04/23(火) 21:53:06.16ID:JsXNU1gS0
>>143
セブン銀行はなるらしいよ
確認画面で一定時間操作しないと、入金処理が完了するって
218名無しさん@1周年2019/04/23(火) 22:07:48.62ID:7gSvxBrF0
>>203
うん吸い込まれるな
やられたことある
入金に手数料かかるとか表示されてどうし
ようか迷ってたら吸い込まれた
入金完了されてた
986名無しさん@1周年2019/07/12(金) 22:28:37.78ID:CCzl49eI0
>>134
当たらずと言えども遠からず
昔オムニ7の開発現場にいたが、
日本人技術者よりも外国人のが多く
すし詰め状態の部屋では、
毎日中国語と韓国語、インド訛りの英語が飛び交っていたw
あと、時々セブン&アイの偉い人が視察に来て
その時は前もって拍手の練習をさせられてたっけw
どこの白い巨塔だよwww ●コンビニATM(セブン銀行)で50万円入金したのに31万円しか反映されなかった
19万円返ってこなかった
https://togetter.com/li/1340318 >>871
どうせチャージできないんだし、最早全部止めちゃっても大差ないと思うけどね ●【クレカ】nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→
オートチャージが悪用されるも補償なし
https://asahi.5ch.net/test/read.cgi/newsplus/1548798496/
第6条(免責事項)
1.クレジットチャージの設定を行ったnanacoカード等の盗難、紛失により第三者がクレジッ
トチャージを不正に行った場合であっても、当社は一切の責任を負わないものとします。
2.前項の他、クレジットチャージに起因して発生した対象会員の損害についても、当社は一切の責
任を負わないものとします
291名無しさん@1周年2019/01/30(水) 07:31:04.85ID:wMT9jgeT0
クレジットカードは落として不正利用されたら、
全部補償してくれると思ったら大間違いだぞ
期間とか、会員の故意または重大な過失に起因する損害がないとか、
条件が多い
クレカ補償されないとかでググってみろ >>870
まあNRIではないだろうな。
あそこ臭い会社はひとつあるんだが、裏付けも根拠もない。 307名無しさん@1周年2019/01/30(水) 07:33:44.19ID:whBJ1aX20
オートチャージ、その仕組なんか知らなくてもヤバいとすぐわかる。
本人確認なしで使えるモノなのに、オートチャージ。
そんなもの、拾ったヤツがどんどん使えてしまうぞ、あたりまえ。
落としてすぐ気がついても、こういう対応しかないんだ。
気づかないとどうなる?
337名無しさん@1周年2019/01/30(水) 07:37:56.55ID:mYD0O8Ja0
>>26
拾った人がnanacoを使う
↓
残高が切れる
↓
オートチャージによりnanacoが補充される
↓
チャージされたことに気づけばループ
対策法
クレカの利用停止
356名無しさん@1周年2019/01/30(水) 07:40:40.04ID:+CIgCzk40
てかね
スマホ落とすと各種電子マネーやらクレカやらの情報筒抜け
おサイフ機能とかマジ止めとけ
453名無しさん@1周年2019/01/30(水) 07:50:52.51ID:bWIqBL1z0
所有者死亡時
nanaco: 残高ポイント返金、相続者への移しかえ等一切不可
waon: 家族のwaonへ引き継ぎ可 >>855
犯罪者のがまともなもの作るぞ
分かってるやつがこれ見たら
恥ずかしくて身悶えして放置できないレベルのゴミシステム 326名無しさん@1周年2019/01/30(水) 07:36:09.53ID:yaa/nm9x0
>>14
>すぐに止められない理由が知りたい。
全ての運用を外部に丸投げしてるから
システムも借り物だし
コールセンターも外注
電子マネーなんか使う方が馬鹿だよ
素直にクレカか最低でもデビットだな
224名無しさん@1周年2019/07/06(土) 07:23:52.76ID:IosW6bgV0
>>211
止められるよ
止めたら儲からないだろ
犯罪だろうと7は儲かるんだよ
327名無しさん@1周年2019/01/30(水) 07:36:13.01ID:1lY96G0J0
スイカ無くして数千円ぱーにしたわあ
カード増えすぎで管理できねーよ
488名無しさん@1周年2019/01/30(水) 07:54:14.84ID:MBxfgYeq0
nanacoのすごいのは、オートチャージにしてると、
オートチャージ時に2円分、nanaco使用時に1円分ポイント付くから、
得した気分になれる事。
497名無しさん@1周年2019/01/30(水) 07:55:06.29ID:sfYbVTp10
>>488
セブンイレブンで買い物してる時点で何にも得してないんだけどね
むしろ損してる
635名無しさん@1周年2019/01/30(水) 08:09:50.81ID:gSPYAq1a0
これって菜々子だけの問題じゃないでしょ?
他のポンタとかのカード類全部注意しろって事でしょ >>874
ほんとな。
ポイントがチャージできるとか、ビックリデータを収集することと、稼働実績が欲しいんだろうけど。
よーしらんが、ポイントだけは貯まるとして、そのポイントすら流出するなり、怖がってアプリを触らなくなったアカウントをストックして、サービス再開と同時に流出追撃までが遠足かもしれない。 929名無しさん@1周年2019/01/30(水) 08:45:09.68ID:UuNMabIY0
多機能高性能になる=落としたときのリスクが高まる
スマホでもそうだな
ガラケーは落としても別になんともなかったけど
今スマホ落としたらいろいろな意味で死ねるやつ多いだろ
ほんの一瞬でもその手のやばいとこに渡ったら
とんでもないことになる場合もある
935名無しさん@1周年2019/01/30(水) 08:46:14.39ID:An7CVFjo0
履歴は残るわ
情報を取られるリスクはあるわ
久しぶりに開けば
サイトの構成も変わってて
更新管理もほんとめんどくせぇ
めんどくせぇ
すまんな勝ち組の現金派で(笑)
735名無しさん@1周年2019/01/30(水) 08:21:33.41ID:b6dnyyWs0
現金決済が廃れないのは支払い時点で全部の決済が狩猟することなんだよな
クレカだスマホだって支払うと支払い時契約時の金額チェックと
実際の口座引き落とし時にも金額チェックが必要で
2回も確認しなきゃいけないから面倒でな
686名無しさん@1周年2019/01/30(水) 08:16:20.56ID:EeIz7hPO0
>>635
最近のクレカも少額決済なら誰か知らない人にバンバン使われてしまうな
978名無しさん@1周年2019/07/12(金) 20:44:34.41ID:lUlqzPxP0
オリンピックの年にはこういうの他にも色々発覚しそうだから色々警戒しとかないとやばいな。
観光客に混ざって犯罪者も大勢潜入するだろうし、
まさに収穫の年だと思うわ
あの手この手で収集している個人情報で
いろいろ趣味趣向や生活パターン調べあげているだろうし
自分の情報なんて大した事ないと
過小評価している人もいるけど
個人情報って身近な人も巻き込むからかなり大切なんだよ え?止めてないの?すげえザルってか
内部に協力者いるだろ >>320
セキュリティ担当大臣がメールも出来ない国だぞ!w ●クレジットカード、電子マネー問題
・外国人急増でスキミング被害も上昇する可能性。
・日本人も犯罪者器質の異常者が増えている
・被害にあっても○ヶ月以内に申告しないと保証にならない
・クレジットカード番号盗み被害過去最多 2018年11/4(日)
・定期的にクレジットカード番号が大量流出
・磁気がダメになる
・勝手にリボ払いになる
・オートチャージ機能がある電子マネーカードを落とすと使われまくる。
(悪用された場合の補償なし。カードもすぐには止められない)
・痴呆、加齢、病気、精神病、ストレス、疲労、失恋等々で判断力が落ちたとき
リボ払いや不正使用のチェックができず自己破産に追い込まれる
・50代以上のカードローン破産が増えている
・金を遣いすぎてしまう
・手数料が高いので商店には大きな負担になる
・地震、津波、噴火、豪雨、台風の自然大国日本では
災害時には機器や電気が回復するまで使えない
★災害時には濡れて困る紙幣より硬貨が便利
・金の使い道など個人情報が筒抜け、ビッグデーター化される
・ハッキングされる心配やネット自体の脆弱性
・手数料5%の場合はクレカ売上1,000万円だと手数料50万円引かれる
・お客さんが払った消費税80万円も手数料4万円引かれて振り込まれる
・入金が遅すぎる
・クレジット決済手数料で経営が悪化して倒産する店も多く出る
・多機能高機能スマホを落としたり、壊したり、盗まれたときにいろんな意味で死ぬ
・外人観光客を増やさないためにも日本円のみにしておいたほうがいい
・オーストラリアではカードが普及した後、客がカード手数料を払う仕様に変更
・クレジットカード手数料が商品に上乗せされる
・アメリカや韓国のカードの社会ってのはリボ地獄の社会
・チャージ式電子マネーは残高が不明。それが発行会社の収益になることも?
・レジで引っかかると高確率で二重請求になっている
・キャッシュレス先進国だった北欧、最近また紙幣を刷りだした。
ロシアからの電子戦・サイバー攻撃に備えて >>867
今月号の日経トレンディの巻頭特集
セブンペイ・・「3D認証など」と明記
他の所はすごいぞ。1000万までチャージとか、認証なしとか。ファミマもすごい。
俺が見たところスマホペイは全部アウト。
トレンディ記載のスペックでは、セブンが最高と言う状態。 >>884
捜さないでください。と書き置きして配偶者のスマホをもって疾走とかか >>880
だよな…
2かね?もしかしてもしかしたら?
まさか、セキュリティが必要なものは社内で作るべきです!とかなあ…
いやしかし、ひどすぎる以前というか
ここまでのものを何故作れたのか感心する
ある意味芸術的だろう >>888
クレカの外部認証だとパスワードを一定回数間違えたらロックされるだろ。
回復には身分証を持って窓口なり、コールバックされた電話に出て生年月日と元号と名前を確認されると思う >>884
マイナンバーカードもすごい。
戸籍、家族構成、住所、学校、職歴、病歴など全部丸わかり。
たとえば病院に行くと窓口と関係者に全部抜かれるだろう
生年月日など(家族も)をパスワードにしていると悲惨。 >>23金持ちほどケチっていうからな
コンビニキングにアグラをかいている ●【ガバガバ】セブンペイで新しい不備 外部ID使えば不正アクセス可能
https://asahi.5ch.net/test/read.cgi/newsplus/1562882401/
269名無しさん@1周年2019/07/06(土) 07:51:07.86ID:jCq8s6IA0
なんでオニギリ買うのに
二段階も三段階も認証させるんだよ
アホか
インディアンもわらうわ >>861
気がかりというか、もうそれ既に大した問題じゃない
まだ問題にみえるだけ根本よりまし
>>883
恥の稼働実績増やしてどうするんだろうな >>336
技術とかものづくりはせいぜい90年代まの話でしょ
ただ遅くまで働くのを「日本人は勤勉だ」って美化するのと一緒に現実から目を背けて過去の栄光にすがってるだけ >>900
どうせ3週もすれば、みんな鳩のように忘れる。 463名無しさん@1周年2018/12/18(火) 08:41:09.57ID:w3DX149k0
電子マネーの良さというのは、
せいぜい多くても一万円程度しか入ってないので、
万一紛失盗難にあっても、許容範囲であるために、
パスワードも身元確認も無しに、簡単に使えるところだ。
が、そこへ給与をチャージするとなると、
何十万という金額がチャージされるとこになり、
そうなると紛失盗難にあって「ま、いっか」では済まなくなる。
当然いままでのようにパスワードもセキュリティもなしに、
自分でも他人でも使える、なんてことでは危険になる。
そうなると、もはやどんどん不便になり、
「こんなんじゃ銀行のカードとなんもかわんなくね?」
ということになる。 本末転倒である
500名無しさん@1周年2018/12/18(火) 08:51:03.06ID:4XTlRBcA0
先ず俺の論理はね今現状でも円は凄く強いのよ
強すぎるの。それは偽造ができないくらい加工技術が細かい
一万から1円までものすごいの。つまりねこれ作るのに相当努力して
御先祖が偽造されないように作ったのよ。職人だよ本当に
これ偽造しようとすると赤字になるの。
だからやらないのよ.だから強いのよ。それを電子通貨でキャッシュレスにして
セキュリティーもガバカバのくせして
サイバー攻撃は防御できないことしっててやるとしたら確信犯だよ
これは絶対許さない。やったら暴れるしかない。俺の我慢越える
446名無しさん@1周年2018/12/26(水) 00:54:38.84ID:enkGfVK00
>>435
現金ATMでおろすにしても、
現金だと買う際に本当に必要かって考えるようになる部分が
結構大事なんだよ
240名無しさん@1周年2018/11/07(水) 08:44:54.29ID:sEKVFybV0
クレジットカードじゃないが
ファミマでTカードを使うと
ヤフーID経由でTポイントを不正使用される事例が多数みられるのでご注意ください オムニセブンにクレカ登録で買いものしたことある
もしかしてやばい? セブンって銀行やってるのにこのセキュリティだもの
銀行の方も攻撃されるんじゃない >>894
そもそも初回の認証した時点でクレカの認証は通ってる
二回目以降はそれを使い回すだけ
一定回数/金額で再認証するのが正しい
まぁそこまで気にするなら毎回認証させた方がいいが 日本のITって終わってるな
中華に外注するか、国内で作るとこのザマ
IT土方とかでこき使って人を育ててこなかった結果が如実に現れてるね
下町ボブスレーとセットでこのブザマな失敗談を教科書に載せるべきだね 日本のシステム開発って6次請け7次請けの寄せ集めがやってるからな
しかもどこから来たか誰も分からない外国人技術者までいるしこういう事が起こるのは当たり前だろw
いい加減この業界の多重請負の中抜きは止めるべきだと思うよ ●老人だけじゃない。誰でも判断力、記憶力が低下する
・病気
・精神病
・ストレス
・睡眠不足
・加齢
・頭ぶつけた
・イライラした
・疲労
・失恋した
・ショックなことがあった
記憶力や判断力、注意力、管理能力は簡単に落ちる!
健康な時期は短い!
ジワジワと判断力、記憶力が低下して
本人も周囲も気がつかないまま
カード管理が徐々にできなくなって借金地獄に陥る
ポイント配布は弱ったときにいつか食うための餌
発達障害、知的障害、精神障害、痴呆などの弱い人から食われてく
今、健常な奴も精神病んだりしたら食われる番にまわる
一分でも早く解約!
外人による搾取、日本人奴隷化を許すな!
ニコニコ現金社会をみんなで維持しよう! 割れてないよ。
まあ警察とサートは把握しているだろうが守秘があるからまず漏れない。 去年の7iD移行から、SNS連携がはじまってるのか。
これ基幹システムがどうのこうのいうより、表層的な部分、ウェブサイトを構築している企業がやらかしてるとおもう。
パスワード再設定のための未登録メールへの送信、事件発覚後に文字列だけをサイトからみえなくするとか。
つめがあまいだけで、きっちり設定すれば、クレカチェージなんてされることもなく、被害もここまで拡大しなかったようにみえる。
セブンイレブンの責任には違いないだろうけど、
アプリ、SNS連携、 既存のシステムに ちょこっとかぶせたところが ことごとく致命的なミスをやらかしている。
どこがつくったかくらい、いえよ。 >>888
リアルで何やってんの?だな…
>>903
忘れられるレベルであればいいんだけどね 来年のセキゅスペ午後iiの問題になるのは、間違いなさ層、このじけん >>888
ペイペイの後追サービスはよくわからんな
ペイペイ自体がfelica普及してる日本でやる意味がわからんのに
必要性が全く感じられない 577名無しさん@1周年2018/10/23(火) 02:46:28.67ID:0uBgrqyb0
自民党は仮想通貨に対してすべ対応が甘すぎる
仮想通貨は日本だけ見ても
今年だけで640億円あまりのハッキング被害
金融庁の監督責任を追求すべきだ
ザイフから67億円の仮想通貨を盗み出した犯人は
KYCを必要としない海外のバイナンスに
数千もの口座を開設して 分割送金
身元を明かさず大量の仮想通貨を バイナンスはで
洗浄してトンズラ
未だにメアドだけで登録できる
バイナンスをはじめとした海外の取引所 が存在する
利用禁止にすべきだ。
アメリカは国民のmexの利用を禁止している
また、アメリカでは公務員は仮想通貨の
保有枚数を報告する義務が課せられているが
日本の公務員には報告義務は課されていない
318名無しさん@1周年2018/10/23(火) 01:49:20.68ID:l/0DFEhH0
それぞれのカード会社が国にポイント還元分を請求する方法はあるが
不正の温床になるのが 目に見えているし
カード会社も国もその為のシステムや組織をつくらなければならない
バカが思いついた駄策としか言いようがない
70名無しさん@1周年2018/11/26(月) 06:32:09.03ID:jCNeVEuQ0
まぁチャージも買い物直前にコンビニ払いだが
郵貯カードなんか30万勝手に貸し出し機能つけてたかんな
何をしでかすかわかったもんじゃないわ
日本は津々浦々 現金さまさまでごんす >>907
マネロン用に内部不正目的で利用してるんじゃ
いや、ないよね?流石に、うん
そんなわけないよ
>>921
裏から情報抜くのに必要なんだって
後は、それをアカウント操作する
国外の情報を全部内部から操作管理する為にやってる 161名無しさん@1周年2018/11/11(日) 17:35:59.27ID:L0BBBPLz0
キャッシュレス推進派のレスまとめ
キャッシュレスはレジ開けてやってるような店の脱税防止だから
現金は汚い/雑菌がいっぱいで不潔
北欧では100%キャッシュレス/ドイツもキャッシュレス化しつつある
世界の流れだから日本も原始時代みたいな決済方法をやめろ
日本は中国や韓国にも遅れている、現金派の老害が悪い
現金派は爺さん婆さんの老害ばっか
日本の紙幣印刷技術は高い()
レジで婆アがモタモタ小銭数えて出してるの見たら蹴り飛ばしたくなる
レジで爺イがもたもた小銭数えて落としたりしてるから聞こえるように舌打ちしてやった
現金は盗まれたら被害が大きいがカードは盗まれてもカード会社に電話すれば大丈夫
現金派は災害の事ばかりいってるが、そんなたまにしか起こりえないこと気にし過ぎ
手数料は店が負担するんだから別にいいだろ?
店に現金が入金されるのが遅い?今時もっと早く入金してくれる会社あるしw
店が現金入るの遅いっても、客も支払したら現金なくなるんだが?売掛って知ってる?
手数料が高いのは国が安くしろって今指導してるだろ
現金派の老害はネトウヨ
数百円の決済でも俺はカード使うね
カードの方が計算しやすい
現金は計算し難い
中小企業とかさっさと潰れて淘汰されればいい >>918
7ぺ使っていない奴は、まず忘れる。
使っている奴も2習慣もすれば忘れる。
アカウントの停止手続きもせず、アプリ削除で安心ニコニコブイしちゃうのが、4割。
何もせず触らなくなって塩漬けルートが3割。
こんなんだと思う ●【北海道地震●使えぬクレジットカード、下ろせぬ現金 「ATMが使えないのが致命的。電気無いとこんなに不便とは」★5
https://asahi.5ch.net/test/read.cgi/newsplus/1536330525/
ホリエモン、“現金主義”の日本に苦言「100%キャッシュレスな社会が理想」
ホリエモン「まだ現金とか使ってんの?お財布ケータイで支払いはほとんど出来る」
ホリエモン「もう現金レジとか古臭いのでやめちゃったほうがいい」
ホリエモン「現金を持ち歩く日本人はキチガイだね、この変なこだわり。紙幣とか時代遅れ。不便だし」
ホリエモン「今時現金しか使えない店なんて潰れちまえばいいんだよ!」
ホリエモン「さっさと現金やめて全部電子マネーにしろ!現金やめると脱税もなくなるし」
ホリエモン「アメリカでは一度も現金使わなかった!日本は遅れてる日本ダサい」
ホリエモン「あのさあ! 現金払いはやめようよ! ねぇ! ガキじゃねえんだからさ!!」
ホリエモン氏「マジで現金とかやめてほしい 日本だけが取り残される笑笑 総じて現金派はアタマが悪い」
ホリエモン×ひろゆきが語るキャッシュレス社会「多くの人は現金が非効率なことに気づいていない」 >>886
普及したら災害時に困る。
現金払いにさえ対応できない(シールの張り替え対策&釣り銭も無い&金を置く場所もない
レジが紙が出ないし、紙のストックもない。
雷、サージ、停電で地域が全滅。
年寄りは覚えているだろうか、クレジットカードをカーボン紙で伝票を切った時代を。
今はほとんど存在しないし、店員も操作を知らない。
普及したときに通信系が対応できない。電線の復旧より通信線の復旧の方がきわめて困難。
北海道地震のセイコーマートみたいなことができる時代ではない。
(バブル時代、大手デパートは数時間、自家発電で運用できた。)
スマホ時代はきわめて脆弱な時代だろう。 >>926
ユーザーサイドで必要性なんかあるか?
500円のデポジットで無記名スイカ持ってたほうがよっぽど便利だと思うが セブンイレブン万引きしようとしたらできるんじゃないの
加盟店がかわいそうでしょ
みたいなことでしかない
どんな運用するかは企業の自由 >>181
もう引退した年寄りの機械設計屋だけど実験データはLotus 1-2-3で解析
そのデータをN88basicで組んだプログラムで開発設計とかやってたよ
ISO9001の規定やフィードバックの書式をWordで作って関連会社の伝票システム構築に参加したんだけど
数年後30代で抜擢された若手技術部長がその規定や書式を全部女性オペレータに書き換えさせてた
文章や書式はほぼ同一で Excelに そしてアカウント停止では削除されないから二次被害が発生して、削除手続きしても削除されない仕様とかになっているとかが基本路線じゃないかと。 >>931
ユーザーじゃなくて、管理する側
実際に作ってる国の中身が国外の情報管理する為にやってるんだろう AUウォレットもやばいぞ
勧誘されるときは退会できないという説明がない
退会したいと大騒ぎして何とか解約
電子マネー系、クレジットカード全般危険
クレジットカード番号はしょっちゅう流出してる
ほぼ漏れてると思って間違いない >>935
それデフォルトじゃね?
おそらく、Tポイントのシステムも同じだけど
削除請求してもごねられて実際には情報削除されないで保存され続けるよ
削除請求に応じない規定になってるから >>931
スマートカード(ICカード)が一番便利だと思う。
そこにワンタイムパスワードtokenでの二要素認証が比較的セキュアだと思う。
ただこのインフラは高い。 設備よりもヒューマンインフラを整える必要が生じるから、殆どのIT会社は嫌がる。
おまけに会員制とかにして、月額費用を別に取る必要に迫られるからゴーキブルやあまなんかは決してやらない。 どういうセキュリティシステムを作ったつもりだったんだろうか? ワシが学生の時に作ったみたいな仕様だな
これ作った人って、完全に無能だろ >>921
外国人観光客が現金持たずにスマホ決済できるようにしたいための政策。
海外のスマホにFelicaついてないのでダメ。 >>937
だから
管理する側がいくら欲しくても、ユーザーがいらんもんは流行らんだろ
いや、キャンペーンで釣ってるのはわかるがそのキャンペーンに釣られるの情弱すぎるだろと
>>941
プリペイドならセキュリティはそこそこでいいからな
そもそもクレカオートチャージするくらいならクレカで払えよと なのでスマートカードのみで金額に制限を掛ける当座口座のような機能で止めるのがリスクが低い。
しかし、何故か上限を設けずにキャッシュレスを目指すからアンバランスな設計となる。
おまけにWebアプリケーションとか、正直正気を疑うれべる >>948
空港でスイカ配りゃいいじゃん
というか、すでに配ってるし
海外との共通規格で普及させるならまだしもガラパゴスに意味あるのか? >>922
たぶん「総当たりすら必要なかった」が次にくると思われ >>948
まあそういうことだな。
スマホ決済の実績が欲しい。中間なんかは強引な管理社会だから出きるわけで、日本でやるのは無理がある 海外の方が現金決済を嫌うなら、空港でトラベラーズチェックと同じようにフェリカに送金できるようにすればいいだけと違うんかと。 アメリカ旅行でもあっちは現金を嫌うが、そのためにチェックがあるわけで。
まあトラベラーズチェックもパスポート要求されて番号控えられるけど >>951
香港は観光客に八達通、オクトパスカード買えっていってるんだから、日本もスイカ買えでいいんじゃないかって思うわ
払い戻ししやすくすれば観光客だって買ってくれるし >>954
ネット経由になったら7payみたいなことになる クラッカーにかかればサービス開始数時間でハックされてしまうと思え
金預かるシステムならきちんとセキュリティ会社に事前にチェックさせるか
設計段階から口挟ませろ >>949
クレカチャージ、Pay払いでポイントの二重狙いだろ。
あと,キャンペーン中だからってのも大きい。
>>951
それはスイカ側の努力。日本はバラバラだから、企業個々でやってるだけ。
スイカやクレカで払われると店は手数料払うから、管理経費さしい引いても
うちはうちでやりますってこと。あとは言われてるようにデータとか手に入るしね。 これ、7payじゃなくてオムニ7の脆弱性だからな。つまりセブン系列の全ネットサービスが危険ってこと 5年前に業界引退したけどさらに日本のIT業界の劣化してるな
辞めてよかった 一番意味がわからんのはチャージ。
クレカは信用販売なのに、なんでキャッシングを求められるんか?と >>949
多分、流行するかどうかの問題じゃないんだと思うよ
そういう観点じゃない
>>961
いま日本のセキュリティって本気でやばいよな
この業界抜けて本当に良かったに同意する
これしかし、この草原状態だれがどう世話するのかね >>962
ポイントをクレカのショッピング枠で買ってるだけだぜ。だからキャッシングじゃない なるほど中国企業に丸投げしたな、バカ低能クズ経営者が安けりゃいいでやったね!(^▽^) >>962
クレカでセブンマネーを買う信用販売でしょ
キャッシング=ローンじゃない >>964
キャッシング枠ではなかろうと、クレカで現金を買っている結果は変わらん。
利息がつかないという面も有るんだろうが、
ならポイントをリボ払い出きるの買いなと >>966
確かに
サバンナに無防備な羊放し飼い状態になってるのが気になって
こういうニュースはみてしまうけど
もう小手先の何とかで何とかなる時代は済んでるしなあ
最悪の状態になる前になんとかなるのかね? >>709
こんな大問題やらかしたらベンダーの信用も失墜するから自分からこんな提案はせん。
よほど技術がなかったか、提案してもセブンに押しきられたか。 ニートのお前らに任せてももっとマシなもの作るぞw
プロがどうやったらこんなもの作ったんだ 結局は、提携会社から信販会社へのキックバックで採算を取るから導入する会社にメリットは少ないだろうと >>970
ベンダーがいなかったに一万ペリカ
いや、マジでいるとは思えない仕様
といっても、このクラスで運用するのに中小並の社内生産なんてしないと思うんだが
…謎だな 開発下請けの中国人がセキュリティホール(という言葉が妥当かはさておき)をマフィアに横流ししたんじゃないの やはり現金が最強だった
なんといっても歴史が違う
はやりものに飛びつく奴はバカ 攻撃する側はそういうシステムだって知ってたんじゃないの
おもらしがあったんじゃないのかな 【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
https://asahi.5ch.net/test/read.cgi/newsplus/1563292200/ >>963
企業側が普及させたい理由はわかるんだよ
むりやり餌ばらまいてるのが目に見えてるのに
それに飛び乗る消費者心理が良うわからんということ >>968
ポイントは現金じゃないんだぜ。実際、現金に戻す手段はないし、現金に近い換金ルート発見されたら即座に塞がれるだろ >>977
破られるまでが早すぎ
解析してどうこうという話とは違う。
組織犯罪の気配もあると直ぐに報じられとるし >>974
アホ提案したコンサルもクソだが、もともとオムニ7担当してたのはNRIだから信用失墜は逃れられないな
アプリや7payはまた別のベンダーだが これ今後も運用するつもりなの?
基本設計からやり直しになるよね…? >>982
いやこのセキュリティ加減だとリリース初日に遊びて試したやつが破れるレベルだろう >>979
普及させたい側は流行しなくてもしつこく何度も流すことでいつかそれが通常になることを狙ってる、と
消費者側には流行に飛び乗る心理がある
>>982
これが真相なんだろうな
それにしてもあほすぎるけど
それならまだほっとできるという辺りが日本の状況は悪すぎるというか >>986
さすがに個人株主は売りに走るだろうから
株価低迷で大株主が責任取るだろ しかもnanacoも含めて損害は補填しないと表示されるからな。スマホ落としたりした事考えると怖いわ >>938
リアルにベンダーいたのが信じられない
幽霊ベンダーにしても外側だけ貸し出しにしても
本気でちょっとHP作ったことあります!なヒトに
中小が通販サイト作らせたらセキュリティなかった、とかいうレベルなような
ありえんよな >>980
7ぺの特性とクレカの決済は別のお話。
7ぺを換金しにくいから、現金決済ではないとか繋がっているようで違う。
なんで直接ポイントではなく信販決済にせんのか?ということ。
7べのポイントにすることで見えない借入をやらせて、運営会社は現金を調達できることに旨味がある。 オムニ7 → 7iD で SNSログイン導入で、セブンも外部との連携、欲をかきはじめた。
大手がかかわっている可能性もあるし、かかわっていない可能性もあるだろうし。
まあ規模からいって、NTTデータとかじゃないだろ。
ウェブのところで、全部みすってるかんじ。 誰がこれをやろうとしたか。 どっかの本の外部IDを使ったログインのサンプルコードそのまんま使ったんでしょ >>992
nanacoも設計ミスだと思うわ。オートチャージ機構考えたアホは誰だよw
Suicaと違って無効化反映すぐにできないのに >>989
これ、試すといっても試しにもならないレベルだろう
破ってどーするんだよ?という
>>985
一番ありえんのは、これを損害算定してこのまま動かそうとしてることか >>4
プロなら罠だと思って回避するだろうな
内部事情に詳しい奴が糸引いてるだろ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 5時間 26分 54秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
