【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能 ★2
■ このスレッドは過去ログ倉庫に格納されています
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_01-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/7pay_2_omni7_-2-w1280.jpg
https://assets.media-platform.com/bi/dist/images/2019/07/15/omni7_7pay_03-w1280.jpg
先ほどの3枚の画像で非常に重要なのは、2枚目だ。
この画像から明らかなのは、オムニ7の認証システムでは、「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」ことだ。外部IDを使うOAuth認証では、パスワードなどは必要なかった。
2枚目の画像の「id」の下の項目「extIdSiteCd」の右隣の2桁の数字は、各外部ID連携事業者(Yahoo!、Google、Facebook、Twitte、LINE)の属性を示すもの。それぞれ01、03、04、05、06が割り当てられていた
つまり、別の言い方をすると「id」の文字列と、ID連携事業者を示す2桁の数字の組み合わせを総当たりすることで、
攻撃者は比較的容易にID連携で会員登録したユーザーのトークンを手に入れることができ、それを使ってアプリへのなりすましログイン、アプリ内の操作が可能だった
このトークン情報を使うことで「アプリを介すことなくユーザーの会員登録情報(氏名、生年月日、住所など)の取得」が可能
……という状態にあったのが実情とみられる。
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
★1がたった日時:2019/07/16 (火) 19:37:44.12
前スレ
【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
https://asahi.5ch.net/test/read.cgi/newsplus/1563273464/ 本気でLAWSONにシェアを渡したいんか・・・
内部にスパイがいるのを疑うレベル これが日本のIT技術です
丸投げ、教育しない、資金を投じない、人材使い捨てで培われた日本の惨状
もう代わりなんかいません いまだにサーバーがしょっちゅうエラー返すファミペイでも
肝心なところだけはちゃんとしてたんだな 業界NO.1だし 余裕かましてたら 色々と問題が内蔵されてたのねセブン … 総当たりで行けるとか20年前のパスワードクラックかっつの >>5
年収200万で雇って文句言うなよ(´・ω・`) 「何事にも根気強く取り込むことが大切」って教わったのを思い出した しかし、これだけのクソシステムを作ることも、一苦労じゃないか
作ろうと思っても作らないシステムだよね
わざと作らないと作れないと思うんだけどw そこら中クソの山でどこから手をつけていいかわからない状態なのか 多分、素人さんが設計したんだよ
それで素人さんがつぎはぎで組んだ >>21
トークンリングとか懐かしい。
トークンとは、十君のことを言う。
君子たる資質を十条にしたもの。
・かわせろ
・ほしがらせろ
・無駄遣いさせろ
以下、省略 おにぎり一個貰って消したわ
pay始まってローソンファミマの勢いすげーぞ 最近、急に出てきたpayは、どれも脆弱性ありそう
それ承知で使わないと >>19
セキュリティエリアに入るための身分証みたいなもん
本来セキュリティチェックを受けてもらえるもんだが
受付で「俺田中なんだけど身分証忘れたから貸して」って言ったらノーチェックで借りれるというような話 7ぺとかけて架空通貨と解く。
どっちがより信用が多いんだろ? 恥になるようなことはあるけど
レベル的に下ってことではない あり得ないだろコレ
普通のSEでも一発で気付くぞこんなもん… オムニ7ってすごいよな。生年月日とか電話番号を知ってれば、誰でも任意のメアドに再設定用のリンクを送って貰えるて記事を読んだときはびっくらこいたよ。 そもそも作った人が仕組みを良く理解してない人が作ったんだから仕方ない
置いてかれまいと急いで入れるからこーなるんだよ 手取り10万で雇ったのだろ?なら仕方ないじゃないか >>39
ハードウェアが複雑にならなければ、イーサネットより良かったと言われていたような。
でもスイッチハブが出来たから、もう気にする人もいない。
でも同じコンセプトの設計が移動体通信にいかされているとかいないとか。
移動体通信は、今も似てきるならタイムシェアリングの設計だったはず。 >>38
そもそも、受託した企業は、下請けに丸投げして中抜きするから 7payは登録してないけどイトーヨーカドーのネットスーパー使うために7idは登録してる
これだけでもうアウト?不正利用される可能性ある? 残り半年の時点で単独アプリ案からオムニ7統合案に仕様変更されたらしいね
もちろんリリース予定は変更しない
その時点で初期ベンダーは逃げてる
失敗が確約されたプロジェクトですな いやあ、月が綺麗だねえ
平和っていいことだ
IT関係ない業界に地に足つけて生きるのが正解だよな
>>41
SEなんてやってなくても気付くって
>>42
それもいらんてことだもんな >>14
そもそも、何でそんな給料で働いてるのさ(´・ω・`) 脆弱性があるのと、脆弱性があるのを知ってるのとは、また別の問題な気もするがなあ
この手の弱点って、出てすぐに解析できるようなもんなのか? >>40
ゲームマスターコンソールを与えられたコンシューマみたいな気分でいい
と、無理筋な擁護を書いてミる。 日本のIT系は中国人が8割だからな
わざと穴だらけにしてるんだろ 元々オムニ7に穴があることは知られていtが、現金化できなかったのでいままで放置されていた
今回現金化できるようになったので攻撃開始されただけ
ペイペイのときも、クレジットカードのセキュリティコードはすでに流出していたが、
ペイペイが現金化する機会を与えてしまった
もともと世の中のシステムは穴だらけよ 7だけじゃないけど銀行も統合しすぎてシステムを全て把握しきれない部分があるみたいだな
ホント怖い >>1
日本の技術力は世界一だぞ?
これはフェイクニュースだろ >>47
何言ってるかわからないけど
外部ID連携でログインしてると不正ログインされる可能性がある >>52
真面目に解析、というかツールを使って外から叩けばある程度は見つかるようにみえるが、
元々の設計されたインターフェースを知ってないと、その当たりで時間を虎れる気がする。
あと、運営会社の許可なくそれをやれば、普通に犯罪だから捕まる。 これ設計レベルでこうなってたのか実装でごまかしたのかどっちだ? >>58
銀行はキチンとしてる所は片方のシステムをバッサリ捨てて安全牌を選ぶんだよ
ミズホみたいな3者の殴り合いでコロコロと方針がひっくり返らないww うわぁ…
20年近くネットやってても金を扱うサービスでここまでひどいの聞いたことない >>65
何言ってるかわからないけど
わざわざIDでトークンが得られるようにしたんだろ >>67
ところで、みずほは、デスマーチいつまでやるつもりなん?
コボル使い全滅させやがって 7payは9条教にでも侵されてるのか?
守らなければ攻められることはないみたいな。 >>71
IDでトークンが得られるのは当然だろう
セキュリティチェックをかけてないのが問題なんだろ そういやキャッシュレスでポイント還元とか言ってたのは、結局どうなったんだ?
なんか、セブンじゃなくて安倍首相が原因な気もするがなあ・・・ 2年前に始まったのに年末に大規模な仕様変更で4月にシステムテスト開始とか言ってるから実際にコード書いて組み上げるまで1ヶ月もなかったんじゃ無いの
まともな検討もテストもする時間ないね
クライアントのワガママで崩壊する日本企業のお家芸ですな セブンイレブン役員が早く再開させろって圧力かけてるんだろうな >>75
キャッシュレス消費者還元事業でググると出てくるぞ >>11
単純な方法こそが最強なんだよ
ハッキングの究極は機械を使わないソーシャルハックだ >>72
取り敢えず今回で終わりじゃないの?
自分は、最初の為替関係やったけど平和だったよ
他の基幹系は方針がコロコロ変わって疲弊してたけど >>74
手続きをすっぽかしてトークンが得られるAPIがあったってことじゃ >>75
他社のQR決済で手数料支払うのを惜しんだのが7pay導入の動機らしいから消費税ポイント還元政策とは直接的な関係はないんじゃないか >>82
認証先とIDあれば通っちゃうんだから、そもそもOAuth実装してないんじゃ?って思うんだが この程度の知能やモラルしかない企業が売る食べ物なんて、恐ろしくて買う気になれないわ 外部委託にしても、どうせ出す金を渋って、素人同然のところに委託したんだろ
安物買いの銭失い 俺が7idの使用者ならメアド変えてアカウント削除してクレカを使用停止にして震えて眠る。 >>87
自分も納期が無茶苦茶な奴でとりあえず動くのを納品して納品後に修正するってのやったことあるけど、そういう匂いがする。 まぁ、会員番号10億通り用意してるから大丈夫とか思ってたんだろうな。
→1万人使ってたら10万回リクエストで1回破られる
→1秒間に100回リクエスト投げれば1時間で36万回投げれる
→1日80人ぐらい破れる
→1ヶ月で2400人破れる
→というか4ヶ月で全員のパスワードが入手できる >>5
衰退先行国だもんね。もう回復不可能だと思うわ。 >>82
そういうAIPがあったのか、そもそもそういうAIPなのかはわからんがな 見切り発車でも、7月1日には絶対に始めなきゃいけない理由があったんだろ。 >>94
内部流出の可能性あるから危ない。遅いかも知れんが、クレジットカード登録外し、現金だけにしろ。 >>18
営業上がりのSEが設計すると、こんなアホな仕様になるよ。
下手なこというと無償で作業量増やされるから、プログラマは欠陥仕様でも言われるままに組むよ。 今更だけどクレカやデビットカードに比べてメリットってあるの? >>97
デメリットならある
つかデメリットしかない >>97
ないと思うわ各企業ポイント還元とかやって客を囲い込みたいだけ あ、キャッシュレス社会の怖さを実感させてもらえる点が
メリットかもしれない 端末からのアプリの承認か一切確認していないって事か 数字の総当たりで崩れるってこのご時世やべぇな…数字と大小ローマ字でも危ないって言ってるのに… SE「やばい」
プログラマー「やべーな」
ITライター「ひどい」
ギーク「ありえない」
意識高い系「コンプライアンス!」(よくわかってない)
じじいばばあ「何も問題ないな」 ちょっと待てよNTTデータ
あまりにひどすぎて鼻からコーヒーが出たわ >>1 サーバの見張り要員を増やすってのはこのことだったのか
今日も夜勤ご苦労様です。 >>1
悪いのは下請けや孫請けであってセブンや元請けは悪くない
むしろ被害者だ! >>8
今日帰りに見たらセブンの駐車場ガラガラだった 適当なidで通れば個人情報丸わかりかよ
勝手に自分のスマホに金をチャージして使い放題
酷すぎるね
そういえばこのところセブンイレブンに客が少ない気がするw >>115
無茶言って上手くいかないのはシステム屋が悪いとかやっちゃうから何も学ばずにシステム化何度も失敗するんですよ。 まぁ7payアプリを独立して作らなかったのが1つ目の問題ってのはあるだろうな
あれは素人目で見てもオムニ7アプリは…せいぜいnanaco履歴用しか使いたくないでしょ
しかも連携機能でこうやってセッションハイジャック的なことされちゃうんだね どちらかと言えば、Oauthの規定する部分だけを実装しちゃった結果かもしれんように思えた。
ザックリ言えば外部IDをアクセストークンから取り出して検証していない。
その代わりにアクセストークンとは別のところにある外部IDで自分等のIDと突き合わせていた(紐付けるようになっていた)
たぶん、こういう不具合だと思う。 >>120
ハイジャックというより金庫のドアを開け放って泥棒さんいらっしゃい状態w >>109
悪いのはNTTデータではなくてその下請けな
クズな下請けのせいでいい迷惑だ 16桁のパスワードにして使いまわしもしていない人もやられたってことは
これだけじゃない他の手口(脆弱性?)も…併用とかしている可能性もあるわけだよね… >>1 身体を張ってネタを提供してくれるセブンには頭が下がる。
以前社内システム構築の時に、教科書に載っている最低限のセキュリティを施さなきゃと言ったのだが
ユーザ部門がめんどくさいから当システムはIDパスワード固定で別システムと連携して、そっちに任せればいいと強情に言い張ったのを思い出した。
あの時この事例があれば分かってもらえたのにw >>124
アクセストークンとは、どういう情報構造を持つのか?
その理解があるかどうか?が基礎。
この想像だとアクセストークン事態の改ざん検査もなさそうな予感。。
まあ、納得できる答えが見えたから寝る。
真偽はしらん。 外部IDってこれ他に端末IDも参照してるんじゃね? コーヒーメーカーも電子決済もマトモに作れない企業w >>123
セブンがNTTデータに投げて、NTTデータの営業がそれを受けて、それをそのまま外注に渡して、
あとは外注とセブンでよろしくやってねって放置して、
外注はその先が多重請け負いで、セブンは内部に受け入れテスト出来るエンジニアがおらず、
誰もマネジメントせず、とりあえず検討段階で出したモックだけあって、
その裏側が何もできてない状態でリリース目前まできて、
仕方なくそれっぽく動くものを下請けの孫請の下請けの友達辺りに作らせた。
みたいな。 セブン製のセブンAPIがID渡すとトークン持ってきてくれる
そういうAPIが作られてあるってこと
ただキャッシュカードから金を抜いたのとは関係ない ってか、payだの、アプリだのは、全然やってないんだけど、
omniかわからんけど、本とか結構買ったんで、なんかIDあるはず
ななことひも付けしたかとかわからんけど
いま、結構いれてるんだよなあ
波及しうるのか、判断できんがどうなんだ?
関係ない? 5ちゃん書き込みIDをAPIに投げたらIPアドレスまで帰って来た的なw カード決済部分については、本体アプリに何か埋め込まれていないと…引っこ抜けないんじゃないかと思うんだけどね…
セッション横取りしてログイン出来るのはわかったけど、次はその先だね原因究明部分は >>5
コストカットしか能がないアホを上にするからな
何も育たない何も残らない >>137
最終的に悪いのは「これでオッケー!よしリリース!」ってしたプロダクトオーナーなんだよなぁ >>125
それはセキュアコードが初回だけってところでクレカの情報自体は7側が持ってて
7側のパスワード認証でクレカにアクセスする感じだと思う
つまり7側のセキュリティがザルなら登録されたクレカは使えると言う事 >>142
100円のコストにこだわって、1万円の価値を失うバカが増えたわな。
>>136
クレカの紐づけがなきゃ最悪チャージしてる分が無駄になるだけ 認証しないとアクセスできないはずのAPIが外部からアクセスできるようになってたってこと >>141
初回認証さえ通ればクレカの情報は使いまわして決済できるから
アマゾンのワンクリックとか、オートチャージとか
ログインのセキュリティがそんだけ雑ならほかも似たようなもんだろ >>146
多分、中途採用で年収500万円そこそこでどこからか引っ張ってきたセブン側のエンジニア。
・・・俺が転職活動してるときに求人出してたやつ。 >>135
ん。いやまさか…。
自前の認証サーバもOAuth方式とかだと、洒落にならないんでないかと。 まだサービス停止しないのが不思議。
金融庁はちゃんと指導しろや もうセブンのバーコード決済が普及するのは無理だね
ナナコで満足しとけばよかったのに無駄に風呂敷広げようとするから >>145
>>152
クレカ支払い部分は…利用者側が一回目で登録して次から認証楽にしちゃえば……
あとは7pay側のログインがザルなら、登録クレカは使い放題になっちゃうわけか…
クレカ側で利用事に3dセキュアだかなんだかで、支払い前に認証するのとかあったけど、ああいうのだったら防げるのかな… >>157
NFC決済のインフラあるのに、わざわざバーコード決済を構築するってバカだよなあ >>1
絶対7本部が委託(丸投げ)した先に居た中国人プログラマーに仕込まれただろコレ。 >>160
・セキュアコード?を利用毎に入力させる
(情報を残さない)
・ワンタイムパスワードを(カード会社が)発行する
どちらかだけで不正利用は防げるだろうね エンジニア使い捨てにしてるからこういう事になるんだよ
もっと人間扱いして大切にしときゃみんなもう少し責任感持って仕事してくれる
外注の外注の外注の…みたいな寄せ集めで忙しい時だけ集められて
繁忙期過ぎたらさようならじゃ愛着も愛情も責任も沸かない
そろそろ気付いて良い頃だと思うけど 管理者権限レベルのAPIが外部から丸裸とか普通では考えられないレベルやな 内部リークないと3日で組織攻撃できる穴じゃないような…… ドコモのspメールの時といい
企業が本気でやってこれなのか?
普通、誰かが途中で気づきそうなものなのに
意見通らない状態で
鶴の一声で強行されてるんじゃないのか? 1から順に正数を入れていくだけで
次々トークンゲット!!
いや、馬鹿なの? 外注ケチってロクなもの作ってねーんじゃん
どこの外注だよ 一周以上時代遅れのオムニ7といいセブン&アイはオンラインサービスに関してセンス皆無だよな
あんな糞アプリによくも決済サービスを載っけたもんだ
頭おかしいだろ >>168
日曜ハッカーでも初日で突破できるレベルかと >>176
この穴がないと知ってても、即見つけられる種類? >>178
ごめん変な書き方しちゃった
この穴があいてること知らなくても、即見つけられる種類? 要するに外部ID連携してた奴全員死亡だったのか
そりゃ不正利用食らった奴からパスワード勝手に変えられた報告聞かないわけだ・・・ とりあえずパケット見て試してみるところの一つではあるよな セブンイレブンには行かない買わない近寄らない
でいいんだよな >>179
詳しく知らんが
おそらくソケットモニターしてても不自然なタイミングでトークン投げられてそうだし
それがわからなくても、まずユーザーIDを特定しようと考えれば総当たりで投げてみるのが最初の手段だろうな
その時点で当りをつかめるんだから相当楽だろう まあ、セブンイレブンの7ペイアプリのごみっぷりに集約されていくわな。
7idのサイトをつかったパスワードリセットの方法は、メールアドレスと誕生日と携帯電話番号がいるとのことだし。
相当はじかれるかんじがする。 これも致命的な穴には違いないだろうが。
これだとのっとられたという報告がごっそりあがってくる形になるとおもうがそれもなくて、これに関する注意喚起もない。
アプリの穴をつかっての、大量覗き見。クレカ登録したアカウントに絞って、そのあとどうにかしてパスワードも手にいれた。
1000件、5000万円の被害。 そのわりには出し子の摘発もすくないし。
まあ、うたがうときりがないが。 報道されている手口だけじゃないかもな。クレカ利用者を共犯にもちこんでいるとか
そういうケースもありそう。 なんてったってIDが連番のn桁の整数だもんな
n桁の連番の整数ってことは左0埋めされてるわけじゃん?
そりゃもう・・・ ゴミシステムにもほどがある
指示した文系の無能のみならず、開発者の低脳ぶりも露呈してて全く笑えん
日本人大学生見てるとこの先もっとお先真っ暗だぜ
どうしたらいいんだ セブンイレブンの経営陣が時代遅れの化石という実態が世間にあまねく認知された事案
でも経営陣がバカでもチョンでも信者は離れません!! >>192
トンキン創業には関わらない
そしてトンキン企業が祖国朝鮮のシステムを組んであげる >>190 初日でデータは全部抜かれたろうな。
7payの不正使用はおまけをもらうだけの日本旅行ってとことか
ってか被害者に補償すると言ってるけど、不正使用と正当使用の区別つかないんじゃないかな
イチイチ防犯カメラで利用者特定なんてするのかな >>196
電子タバコを大量に購入したヤツで絞り込める 電子マネーやら○○payは危険なものと完全に世間に刷り込まれてしまったな
この罪は大きい これ系のメリットは屋台でも導入出来るだから既にnanacoやスイカ使えるところでやる意味無いのに
外国人がーって言うけどそれこそ外人客が多い店舗だけで導入しろよ 仮想通貨も電子マネーもヤバすぎ
移民と同じで見切り発車 もはや中国韓国に作ってもらおう
そっちのほうがよほど安全さ >>1
>「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、
>トークンと呼ばれる鍵情報を返していた」
こんなの聞いた事が無い
長年デスマ処理班やってるが、こんなの設計とは言わない
幼稚園児未満だわ
以前もセブンは大々的にやらかしてるよな
結局何も変っていない
セブンはネットから手を退けよ
キャッシュレスシステムに参入する資格なんか無い
バカ過ぎて笑えない >>199
マルチベンダーだけどメインはNTTデータじゃなかったか >>1
今回の件について「中国のハッカー集団が〜」とかいってマスコミが騒いでいるが、そもそも7payのシステム自体に大穴が開いていたんじゃないか
政府の進めようとしているキャッシュレス社会なんてこの程度のものなのだから呆れる
他の企業の○○payとかついてるものも7payと似たり寄ったりなんだと思う
こんなサービスは絶対に利用したくない
>>5
実際にシステム開発をしている末端は、中国企業だったんじゃないかと思うわ プロマネは経験とかないんだろ
下請けが言われた通りに作りましたって、ここぞとばかりにドヤ顔すると、部長とかいうヒトモドキの鬼畜が現れて経験を積ませたくてね、わかってるよね君みたいな空気をかもし出す 10年前の国産スマホを思い出させる完成度だな。
熱暴走・タッチが効かなくなる・勝手に通話・イヤホンを挿すと再起動etc
まともに動いていたのがソニーエリクソンのXperiaくらいで、欧米中韓台メーカーの方が出来が良かった。
決済システムもシェアを外国企業に押さえられるのかな? あの陰気な社長は部下の責任にするためのスキームを一生懸命作ってるとこかな まあ外資っぽいわな。
オムニ7ってのは日本の大手が名前がでてきるし、実際今もつかわれてるんだろうけど、
7iDに統一しようとするところから、ソーシャルログイン導入、クラウドクラウドうるさいし、こういうサービスの技術者は海外におおいだろうし。
日本の業者名がでてこない。
日本の企業はあまり関与していない可能性もあるのでは。 ここまで騒動になって、名前がひとつもでないとか謎すぎる。
ペイペイはインドの決済業者に処理をなげていたということだけど、
QRコード決済事業者はどこも似たようなものなんじゃないか、と想像する。
いちいち日本の業者やサーバーとかつかってたら赤字になる、競争するには他社と同じような手段をとるしかないのでは。 >>47
決済にクレカを使用しているなら、ID削除しとけ
>>78
ホンコレ
>>90
正に初期義務教育レベルだな
時間の計算(秒、分、時間)て小学校何年生で習うんだっけ? セブンイレブンが悪党の片棒担いだってことだろ?
まぁあのフランチャイズ制度自体悪の根源だからなぁ >>207
でも、外注に雇われている方もすぐにリストラされるかもしれないんで腰が落ち着かないとか
そんな心理状態で集中できないんだろう
仕事に誇りを持てないんだよ ガバガバセキュリティが世間に広まったせいで
簡易ハッキングのおもちゃと化してるな
これは絶対使ってはいけないサービスだ >>207
端末側でのセキュリティの担保の仕方を知らない人から見ると、外部認証を利用したアプリは
初回に外部認証したらあとは認証なしでログイン出来る
としか見えないのでその通りになんの工夫もなくAPIを設計したんだろうね
セキュリティ無しで。
それをやる場合は正規のアプリによるユーザの端末からのアクセスであることを確認するための
端末認証となりすまし防止のためのタンパレシスタンスが必要なことがわからなかったんだろう こうやってすぐ新しい技術に飛びつく奴は馬鹿を見るw 設計の責任者だけじゃ足りないだろ
関わったやつらの顔と氏名と履歴を公開して二度と働けないようにすべき サーバ間でしか使わない用途APIをインターネット経由でノーガードで許可してたの?
これ社員の処分どころか事業差し止めレベルの問題じゃん。 >>224
技術としては新しくもないし難しくもないぞ >>195
本来なら正しいパスワードから正解を計算して提出しないといけないところが
パスワード割らなくても計算しなくても答えを教えてもらえましたーってことだろう むしろ荒稼ぎしてた中国人に感謝のレベルだなw
奴らが派手に暴れたからここまで騒ぎになってアプリも止まったけど、ちまちまやってたらセブン側で黙殺されてて全ユーザーが被害者になってた >>231
日本企業なら間違いなく隠蔽してそのままだったな セブンイレブンってさ、こうしたシステムを野村総研に出してんじゃない?
僕は一度だけ野村の輩と仕事で顔合わせしたことがあったんだけど、やたら態度がでかくて呆れ返ったことがある
あんな態度で下請けに仕事をだしてたら、そりゃあろくなことにはならんだろう 担当したシステム会社公表すればいいのに
知らずにその会社発注する会社は被害者になんじゃね よく知らんけど おらおむに7にidあるけど なんかやな感じ セブン運営「新しい決済サービスのシステム!!」一般人「私が作りました!!」得意を売りたいココナラ♪ 現金払いの俺、高みの見物
情弱人柱はもっと被害に遭って、電子決済の問題点を洗い出してくれ
ご苦労さん >>234
いや、これ仕様書段階でのミス疑うレベル
プログラムには建築基準法とか食品衛生法みたいな「トラブルを起こさない為の安全設備の最低基準」を定める法律とか無いからな
セキュリティ対策とかは発注側でちゃんと契約に盛り込まないといけない
そこに予算とかまでケチると、受注側も契約に無い所から削り出す
この場合だとセキュリティ対策について契約で盛り込んで無かったと言えるレベルだよ 野村総研はシンクタンクとかほざいてると思うけど口先だけで何も作れないから下請けに丸投げする
下請けったって当時聞いた話では日立だった
僕は日立が好きってわけじゃないけど、野村の輩が日立の連中を見下した態度で接する姿を見て、
口先だけのお前らが日本でいい暮らしできるのは全部メーカーのお陰だろうが!って腹を立てたんだ どうせIT業界の自称PMが
アレオレサギで請け負ってこのざまだろ >>226
10月からの消費税アップの見返り策である『キャッシュレス決済時のポイント還元』の対象外になるという話も出てるね
つまり、ファミペイなら増税分2%を政府がポイントという形で戻すが、セブンペイは対象外 簡単なパスワードにするのはやめろ!とか客側のせいにしてたよな?
なにこれ まさか小売り巨大なセブンが
こんな形で自爆するとはなぁ。
もうよほどばらまいても
セブンのペイなんて使われないだろ。
ファミマやローソンは飛び火は怖いけど
セキュリティ全力で対策しておけば
ついに訪れたセブン自爆の恩恵は
とてつもなく大きいと思う。 セブンって昔ネット通販サイトで個人情報大公開したことあったよね >>234
発注仕様が穴だらけだったとしか思えん。
下請けはそれを元に作るだけだからな。 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳。
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話 私家版
続法窓夜話 私家版
https://twitter.com/0Idm3vd9TYmFDaQ/status/1144182365134061568
(直リンNGのためtwitterが開きます)ofv
https://twitter.com/5chan_nel (5ch newer account) 一応nanacoのクレジットチャージの登録を解除しておくか
オムニ7もクレジットカード登録も消しとこう 最近のweb関連の技術は自分で直接組んでる人でなければ実相が分からないと思う
そこそこオベンキョウできる輩なら当然、本を読めば基本的なロジックを理解できるだろう
しかし、実際にプログラミングする上で、どんなところに留意しなきゃならないのか?どんな困難が待ち受けてるのか?組んでなきゃ絶対に分からない
特に今の元SEの管理職なんてアセンブラやC言語、金融系ならコボルとかしか知らない可能性が高いから、jitコンパイラ系の可変変数や関数型プログラミングなんてチンプンカンプンだったりするはず
それでも本を読んでオベンキョウしてればポイントは抑えられる!!って言い張る輩もいるだろうけど、そんな上っ面の知識は役に立たない
上っ面な知識の上にセキュリティの知識を身に付けても殆ど意味がない、使えない
砂上の楼閣、ハリボテの韓国と同じだよ
以前は上っ面の連中ばかりでも、一人できる輩がいればプロジェクトを救えたが、今はそうはいかない
バグとは違ってソフトはちゃんと動いちゃうからね
その上でサルっちゃうんだからさw
サルってる部分を探してやろうって、やたらボランティア精神の高いプログラマーでもいれば助かるかもしれないけど、
契約したからには家族が自殺してもお前も死ぬまで働けなんつーてるセブンイレブンの仕事を報酬以上に頑張って働いてやろうなんて誰も思わないだろうよ
馬鹿どもは、今後はメーカーに丸投げするだけじゃなくて、システムが完成したらハッカーを雇ってセキュリティホールを探させちゃる!!
とか短絡的に考えてたりするんだろうけど、本当に腕があるハッカーはそんな面倒な仕事を安請け合いしない
もしも自分がセキュリティホールを見付けられなくて、後から他の人がセキュリティホールを見付けたなんつーたら目も当てられないしね
公官庁系だと自分が発見できなくてもお咎めなしだけど(それもどうかと思うけどw)、民間じゃそういうわけにもいかないだろう
大甘の契約しますからお願いしますってか。馬鹿が。普段威張り散らしてんだからテメーでやるんだな、口先だけじゃなくてさ >>163
普通にアプリケーションごとに乱数発行させればOK
初めて見るIDと乱数の組みなら再認証 >>215
セキュリティ対策には二つあってね
仕組みを晒さないことで担保されるセキュリティと
仕組みが晒されたとしても担保されるセキュリティ
人の口に戸は立てられないので後者を進めていく必要があるね 外部のセキュリティチェックを受けたっていってたけど、ネットワーク通信の暗号化とか、サーバーログイン脆弱性とか、最新パッチ適用済みとか、そういうチェックだったんだろう
まさかOAuthを使った設計の根本がおかしいなんて思いもしないからチェックしないよな セブン関係なく開発者の知識がなさ過ぎるのが一番の問題だと思うが
新人同様の安くこき使える連中集めて作らせたんじゃねーの? >>256
検収したのはセブンなんだから、責任はセブン側にあるけどな。 >>24
今や開発なんて中国人混じりの下請けだらけだし質の悪さ半端ない >>257
ロジックとしてはそうだが受入検査を別で行いたくないから専門家に発注しているわけでね
元請けの責任のが深刻だよ 正しい作りはどうなれば良いんだ?
他IDPからもらったタイミングでATを独自システムにも登録して認証に使う
みたいな作りにすれば良いの? >>260
このシステムを設計したクズが今そういうこと考えてそうでイラっとくるw ブラックだろうがガバガバだろうが客が勝手に入ってきてコンビニ業界1位は変わらない図 >>260
一度認証したら次からスルーパスって仕組みなんだから、最初に認証するときに認証対象しか知らない情報を付け加えるだけだよ
アプリケーションが乱数発行して保存してトークン発行時にそれとセットで渡すとか
サーバ側で乱数を発行して渡してもいい
それだけの処理だよ >>259
ロジックが正しいのならそれが正義だろ。
日本は法治国家だからな。 クソ老人がIT業界をまるごと奴隷にしてカネモウケしてきたツケだ
滅べ >>256
上に立って仕事をやらせる方に知識がなさすぎて、どんな人を集めればいいのか?どこを引き締めて掛かれば良いのか?全く見当が付けられないんだと思うよ
javascript経験3年以上なら、じゃあ全部任せていいな、とかね
それがwebデザインのためにhtmlにjavascriptを書き加えてただけの輩だったりとかさ
そんなもんプログラマーでも何でもねーだろw って
だけど日本企業がプログラマーを見下し過ぎててね
webデザイナーの方がマシな待遇受けてたりするんだからどうしようもないよw >>267
見た目が綺麗になると、バカでも分かることがあるからな。
デザイナーの方が役に立つって判断し易い。 これ製造は曾孫受けとかの中小だろうけど
1次受けは製造の責任にしようと言い訳づくりの会議中だなあw >>270
設計とセブンは責任回避はできないよ。
その辺のジジババを騙して責任がないって思わせることは可能だろうけどな やっぱ被害者増えてたのか1574人
まだまだ増えるだろこれw
で、お金戻ってくんの?(´・ω・`) 画像を見ると
sp-api.omuni7.jpとなっているようだが >>272
一箇所セキュリティが甘いと、他も甘いかもってハッカーの遊び場になる事がある
それを手口をロシアの掲示板あたりに書かれて、あらゆるサービスが危険に晒される 一方で
オムニ7サイトでは、外部ID連携がまだ有効のようだが? おにぎり引き換え今日までなので、2個もらってきたよ とりあえず社長(とその取り巻き)は二重認証を理解できたのか アホ企業ってなんで既存の決済システム使わないで
自社開発したがるの?
企業毎にこんな糞アプリあったら使用者は面倒くさいだけなんだよ
囲い込みとかアホな考えはやめろ >>280
プラットフォームを他社に頼ると、必ず下請けにされる。
下請けにされると惨めになるから嫌がる。
自分等が下請けを踏み潰して喜ぶのだから、その恐怖は理解できているだろ。
だから自前で作りたがる 認証の仕組みはオムニ7のAPIをそのまま拝借
認証の製造工数に試験も減ってウハウハウマウマ
みたいな? 認証すら知らないITに疎い経営者も問題だがその下に何階層もあるシステム担当が上から下まで全部無能というのは珍しいな
セブンにいったら現金以外だと何使っても後で不正利用されるイメージになったからもう行くことは無いけど 社長の記者会見も視点そらせるためのパフォーマンスな気がしてくるな >>24
ザルな仕様だからそれをベースに作るテストもザルだぞ
ちゃんと作られた業界標準のテストがないと無理だな 画像見たけどプログラムミングて魔術みたいでカッコいいな
知識ないと全く理解できなくて何か技を発動させるために必要なとこも似てるし組み方にセンスがいるてとこも滾る
コード読みながら禁断の術式かっ?て厨二ごっこしてみたい
社畜SEが異世界で凄腕魔術師になるラノベがあってもいいはず 初期投資がほとんどかからないからQR決済始めるってのならわかるけど、すでにicカード決済に対応してるセブンイレブンがなんでわざわざQR決済したがるのか。
いや、他社のQR決済に対応するのであれば別にいいんだが、なんでわざわざ自社で金かけてまでやろうとするんだ?
やらなくていいことやって自爆とかコントでしかない。 >>287
あるいは
強力なリーダーシップで行われた、とか これ実は端から犯罪利用を目的としたサービスだったんでは・・・ >>292
一般な店舗や露天商にも端末?売って、セブンペイ使わせようという計画とか? ┏( .-. ┏ ) ┓
【「OO」ダブル・オー 】
*1990年代初頭より
マサチューセッツ工科大学(MIT)にて
フジテレビが今は亡きタイムマシンにてカムバックを果たし
自分達の代わりに、IT界を制覇させる企業を決めようとしていた
--
*そこで二つの企業経営者格がノミネートされていた
一つは、Googleの前身である元MITのオーナー格の男性
もう一つが、Yahoo!の前身となるオーナー格の男性であるが孫正義氏が嫌いだった
孫正義氏が彼をズブリと刺して背乗りをしたらしい
*孫正義は、当初は普通より穏やかな企業経営者だったが、その件でフジテレビに脅迫され続けて、徐々に凶暴になっていったと推測されている
現在は、奴隷の様に言いなりになり、多債務を背負わされている
*今は亡きタイムマシンを最も多用した経営者の一人である
*Yahoo!の前身とは、wwwの検索サイトをMITより分離独立させようとして失敗した企業の代表格であったが
同時に世界中の凡ゆる拠点に、www検索サイトを置いて利権を独占する為に
他検索サイトを立ち上げようとした企業経営者達を殺傷していったと伝えられている eq
https://mobile.twitter.com/prettypumpkin71/status/1150681823447408640/photo/1
https://twitter.com/5chan_nel (5ch newer account) ムチャクチャなコストと納期突きつけられてエンジニアが反逆したとしか思えんな
賠償?無い袖ふれねーから!道連れじゃボケェみたいな ┏( .-. ┏ ) ┓
【「OO」ダブル・オー 】
*1990年代初頭より
マサチューセッツ工科大学(MIT)にて
フジテレビが今は亡きタイムマシンにてカムバックを果たし
自分達の代わりに、IT界を制覇させる企業を決めようとしていた
--
*そこで二つの企業経営者格がノミネートされていた
一つは、Googleの前身である元MITのオーナー格の男性
もう一つが、Yahoo!の前身となるオーナー格の男性であるが孫正義氏が嫌いだった
孫正義氏が彼をズブリと刺して背乗りをしたらしい
*孫正義は、当初は普通より穏やかな企業経営者だったが、その件でフジテレビに脅迫され続けて、徐々に凶暴になっていったと推測されている
現在は、奴隷の様に言いなりになり、多債務を背負わされている
*今は亡きタイムマシンを最も多用した経営者の一人である
*Yahoo!の前身とは、wwwの検索サイトをMITより分離独立させようとして失敗した企業の代表格であったが
同時に世界中の凡ゆる拠点に、www検索サイトを置いて利権を独占する為に
他検索サイトを立ち上げようとした企業経営者達を殺傷していったと伝えられている eu
https://mobile.twitter.com/prettypumpkin71/status/1150681823447408640/photo/1
https://twitter.com/5chan_nel (5ch newer account) >>48
金出さない、出しても中抜きしてゴミみたいな額でやらされたらこうなるよ、
元請けも馬鹿だから納品したものソース確認もできないんだし、日本の情報セキュリティなんてこんなもの 逮捕された中国人のがよっぽど頭いいからな
もはや後進国の日本は技術で勝てなくなってるから法で縛るしかない
韓国相手には素材でシェア八割とか言ってホルホルしてるようだが >>123
まるで自分達は悪くないような言い方だな ┏( .-. ┏ ) ┓
【「OO」Yahoo! 】
*Yahoo!
→「holy(神)に矢を放つオウガ民族」
*フジテレビの目玉マーク+ 孫(SON)
→ 「メーソンの創設組か幹部?」
*イルミナティ
→「自分は菜(林檎)を十字架に掛けたい、素粒子で撃ちたい」
*ADSLルーター配り
→A(安倍首相)
→D (ドワンゴ、ドコモ、麦わらのルフィの月一族)
→SL(タイムマシンに蒸気機関車で乗る)
--
*半年以上前に、フリーメーソンのトップが
この界隈の被害者の筆頭格であるビル・ゲイツ氏から
安田の遺伝子が配合された人間に入れ替わった
また幹部クラスも同様である dc
また、ビル・ゲイツ氏を主犯格にする為に
日本の在日勢力が罠的に作り上げた組織とも推測されている >>280
手数料払いたくないし外人にも使って欲しいし。FeliCaは端末が高くなるけどこれはデバイスを選ばないし。 システムには金をかけろ。発注する側がアホだからセキュリティの価値が分かってない >>241
でもさOAuth認証で発注してるんだろうから
建築でいえば鉄筋コンクリートで発注したのに鉄筋入ってないレベルのミスっじゃね どうせ、大手企業のパワポ君が、下請けに丸投げして、崩壊したシステムを作ったんだろ
下請けに丸投げしたら、その下請けが、個人のプログラマ等にも投げて、その先に中国人って想像がつくわw ┏( .-. ┏ ) ┓
【タイムボカン】
*悪の三役
ドロンジョ
Google女性管理人電子体、ぱた足やヒール足👠
ボヤッキー
フジテレビ古舘電子体
トンズラー
孫正義電子体
豚もおだてりゃ木に登る
私の意味、青森のねぶた、寝ブッタ(仏像にもされた)
煽てられて気に登っただけだった hd
https://mobile.twitter.com/prettypumpkin71/status/1150703702837088257/photo/1
https://twitter.com/5chan_nel (5ch newer account) 下請けの開発実務者はこのままだと不正利用され放題だなって思わなかったのかな
自分が取引先から明らかにおかしな発注受けたら危険性を指摘するけど
被害が自分らに及ぶ可能性もあるし >>272
被害者というか、この内容だと、すべて情報が抜かれているって前提で動いた方がいいと思うけど
まだ、稼働しているんだろ?
よくやるねえ サーバー監視してればすぐ気づけるレベルの問題なのに
なんで放置してたんだろか どうせ実装してるのは下請けの下請けとかだろ
糞薄給でセキュリティまで考える義理なしとかの
元請けはちゃんと金払ってまともな人員そろえなよ >>1、ログイン魚青(サーバーw)での言忍言正後、ユニークなイ吏い才舎てのクエリURLを
生成して、残高の確言忍とか決済コード表示とかするんじゃ無いのねえ( ^ω^)w
まあ、禾ムは7payとかイ吏って無いから、アプリのイ吏い月券手の言羊糸田は矢ロら無い
けど(^∀^)プケラww
これってつまり、電言舌番号を適当に入力したら、買い牛勿が出来ると言うのと同じ事じゃ
無いの⊂( ^ω^)⊃ブゥーンw
マネーを直才妾才及わ無いソシャゲですら敷いて居るセキュリティを、決済アプリでやって
居無いと言うのは大変な問題よねえ(^∀^)ケラケラww
言忍言正とかのシステムが、根本から馬太目っ( ´,_ゝ`)プッw
ぷぎゃwww oauthは認証機能じゃ無い
昔から言われてんのに
勘違いしてる馬鹿多すぎ 「パスワードが違います」→パスワードが間違ってるのがバレる
正しくは「パスワードかメールアドレスが間違ってます」にする
パスワードを前から順番に調べていって、3桁目で間違っていたときにエラーを返すと、
2桁目までは合っているってのがバレる
エラーを返すときは、常に一定の時間が過ぎてから返すようにする あかちゃんホンポがオムニ7だったからamazonに切り替えた >>320
暗号化してるから桁なんか関係ないでしょw >>321
セブンネット時代に盛大にクレカ含む個人情報お漏らししてたのは知らなかったのか? >>309
悪い
中華やキムチの方がよっぽどマシなもの作る
どう言うことか?
この案件の人員の多くは本や専門学校で学んだ程度の知識しかないサンデープログラマであるから
だって安いんだもん!偽装請負という言葉も知らないもん!
高卒だもん! >>76
予算外のをぶち込んでくるのいるよね
家建ててたら、やっぱりデザイン変えるわって言い出す
デザイン変えるためには材料買い直しだし、土台から作り変えないといけないのに
なのに納期は延びない ┏( .-. ┏ ) ┓
【三菱UFJ銀行】No.a 続く
*三菱UFJ銀行の本社が
脳データの書き換えツールを
主に日本企業20社に配布しておりました
アメリカ大統領の思考を制する目的と
テスト施行を兼ねて、頻繁に書き換えを行っておりました
--
*お気付きの方も多いと思われますが
トランプ大統領は、そのツールにて脳思考データを書き換えられた為か
発言内容が頻繁に変化していたりしてました
書き換え回数は、述べ数万〜数百万回とも云われてます
--
*今朝、日本企業のとある一社が、そのツールの件をペンタゴンに報告しました
他社の報告も含めると
三菱UFJ銀行の頭取や上級役員に収まっている
フジテレビ関係者の安田背乗り人間が、そのツールを国内企業に流布していた模様です
トランプ大統領の脳思考データの書き換えに付いては
積極参加していた企業が大多数ですが
極一部企業は、脅迫されて嫌々行っていたらしい mf >>67
システムより既存業務プロセス優先で開発が破綻するのはよく聞くが
業務(金融商品)より社内政治優先で、ってのはあまり聞かないよな >>322
ハッシュ化(不可逆変換)してれば関係ないね
昔みたいに暗号化(可逆変換)してれば関係ある ┏( .-. ┏ ) ┓
【三菱UFJ銀行】No.b 続く
*それらの報告を受けたアメリカのペンタゴンは
今朝直ちに、関連企業の調査を行いました
ツールの配布先企業名が確認されて
各企業が所持するツールに、脳思考書き換え内容のログが残されていたり
ツール内部のデータを辿ると
フジテレビ抱える安田が各企業のログ管理をしていて、内容チェックをしていた
トランプ大統領の脳思考データの書き換えを行わないと
企業が倒産させられて、従業員を路頭に迷わすとか、半ば脅迫されていた模様です
--
*そのログの内容とは
私への発砲許可を出して欲しい
私の股くらの切断許可が欲しい
から、日本国内のこの件を知っている関連企業50社へ
発砲許可を与えて欲しいとか
主に、フジテレビ&日本政府&Google陣営の
悪巧みの揉み消し工作に利用されております cd 7&Yの他のは大丈夫ってわけないよな
いろいろサービスしてんのにちゃんと解決してくれるのか なんか下請がみずほと同じ道を辿りそうな。
あの時業界では下請けの部長が首吊ったとかまことしやかなうわさ流れまくったわな これはひどい
https://www.businessinsider.jp/amp/post-194302?__twitter_impression=true
2年前から2018年末までは単独アプリとして配信予定だった
2018年末急遽セブンイレブンアプリへの追加機能とすることが決定、それと同時に開発会社変更
スケジュール調整され2019年7月1日を必達目標とした開発がスタート
オムニ側のシステム変更が遅れていたため数度のスケジュール調整が行われる
そのため3月中に行われるはずだったシステムテストがゴールデンウィーク直前までずれ込む
数ヶ月行うはずだったシステムテストが実質一カ月未満しか行われなかった可能性 >>42
おまえのものはみんなのもの
みんなのものはおまえのもの
的な意味でのオムニかもね。 2段階認証を知らないって時点でこういう攻撃が効くのだろうなってのはその辺の実装をちょいちょい作っていればすぐ分かる
それでも日本は不正アクセス防止法でチェックの目的で不正アクセスを行う善意の第三者を許して居ないから確認ができない
だから、この技術者も匿名条件にしてる >>32
その例なら、セキュリティエリアの入り口に有効・無効が入り混じっ入出カードの山があって、それを適当に取り出しては入れるか試すことが出来るって感じ >>337
合理化とコストダウンが見事に裏目に出てる こんなにガバガバなのにサービスを止める気が無いのがすごい ムカつくから不買しようとすると
困るのがオーナーという仕組み ほぼ同時にスタートした
ホーマックの電子マネーでも同じこと出来そう
2段階認証じゃないし 公開されている(制限なくアクセス可能な)オムニ7のAPI
を調べた結果
とのこと つかってないが、インスコしていつでも使用可能にしてる。
これってもはやアンインスコしたほうがいいんかな? コンビニのオーナーとか、7payの下請けの今回のミスとか
セブンイレブンさんは、大変ですな。色々あるよね 国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室。
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
その上、最低不倫女の安室
↓
安室の不倫相手、安室の直ぐ近くに引っ越してきていた!↓
http://www.excite.co.jp/News/entertainment_g/20170929/Cyzo_201709_post_22470.html
安室奈美恵ルール違反! 羽田空港の身体障害者用乗降場から乗車(東京スポーツ)
https://toki.5ch.net/test/read.cgi/musicnews/1304718603/
↑
過去にもこんな最低な行為までしでかしているクズ女安室
ライジング事務所の平哲夫が脱税で逮捕された際に平は業界人を売らなかった
その功績で平の出所後に安室は業界から持ち上げられただけ。
特に悪質な違法行為していた日テレ関係者の安室への忖度が酷い
要するに極めて下らない、業界の裏事情で安室は持ち上げられただけ。芸無し安室の実力なんて全く関係ない
ヤクザ事務所のライジングを業界から駆逐しましょう!そしてヤクザライジングと癒着している日テレ関係者も逮捕に追い込んでいきましょう!
↓
http〇://moyasi24.co〇m/2551.html
平哲夫の小指や脱税逮捕や悪評とは?西内まりあビンタの原因は?そもそも事実?問題ありすぎ!
.
.
障害者を不当に入場拒否して、謝罪もしないまま芸能界から逃げ出した安室は人間の屑
運営トップのステラ88の取締役である安室が謝罪するのが筋
謝罪一つ出来ない安室という女のクズな本性がより強調された
↓
安室さんコンサート
療育手帳で入場断られ…「取り返しがつかない」憤りの声 毎日新聞
特別扱いで免許とった安室最低
↓
東京都公安委員会指定の池上自動車教習所(大田区大森南5、田中忠治社長)が、タレントの安室奈美恵さん(20)に
営業時間外の技能教習を受けさせるなど便宜を図っていたとして、都公安委は29日、同教習所の行政処分を行った。
公認教習所が道路交通法に基づく処分を受けるのは異例で、同委は「タレントを特別扱いすることは免許制度の信用性を損う違反行為」としている。 (9月29日・毎日新聞夕刊より)
.
.
.
注目!土下座引退した負け犬安室がまたまた往生際の悪い、恥知らずな引退商法やってるよ!
↓
セブンイレブン沖縄初出店!沖縄フェアに安室ちゃん公認キャラクターeminaも登場!
http〇s:/〇/namie-lovers.com/news/2241/
>クリスマスで見納めかと思っていた安室奈美恵 公認キャラクターの”emina”も再登場です!
.
4+64 5chは既に在日チョンに買収されているのをご存知ですか?
↓
2chの譲渡先、5chの代理人弁護士は通名のしばき隊員
http://irohamatumae.blog.jp/archives/19087374.html
5chの運営がチョンに買収されていると、とっくにバレている以上、完全記者制というシステム止めるべき
チョンに買収されている運営が全てのスレ立てをコントロールするとかありえない
【民主党=立憲民主党の正体】
韓国民団生野支部での民主党議員の挨拶【在日参政権を約束】
http://www.nicozon.net/watch/sm9751328
菅 直人(民主) 日本人拉致犯 シンガンス釈放署名
江田五月(民主) 日本人拉致犯 シンガンス釈放署名
千葉景子(民主) 日本人拉致犯 シンガンス釈放署名
岡田克也(民主) 「拉致被害者を北朝鮮に戻すべき」と主張
岡崎トミ子(民主) 慰安婦への謝罪と賠償法案 8回提出
福山哲郎(民主) 陳哲郎
白眞勲 (民主) 元韓国籍
土肥隆一(民主) 朝鮮京城に出生
中井洽 (民主) 吉林省長春に出生
辻元清美(民主) ピースボート創設(北朝鮮組織)
辻元清美(民主) 「私は国家の枠を崩壊させる国壊議員」
有田芳生(民主) 嫌韓デモの法規制 「ネットで書いたら逮捕!」
末松義規(民主) 「在日朝鮮人に選挙権を与えよう!」
角田義一(民主) 朝鮮組織から献金 2500万闇献金疑惑
前原誠司(民主) 「外国人参政権を成立させる」と民団で約束
安住 淳 (民主) 大震災の年に「韓国に5兆円支援」の財務大臣
山岡賢次(民主) (「金賢二」、通名は「金子賢二」、後に「藤野賢次」→「山岡賢次」)
↑
民主党政権の時の円高デフレ政策で、日本の輸出産業は壊滅寸前になる一方で、韓国の輸出産業はこの世の春だった。
民主党=立憲民主党は日本を滅ぼして、韓国が栄える為に政治をしている
安倍政権の韓国への経済制裁に一番反対しているのも立憲民主党
.
.
6+4+624 韓国に対して 物言う吉本芸人を排除したがっている芸能界とマスコミの在日チョン勢力の手管が卑しすぎる!
ヤクザバーニングみたいなチョン系のヤクザ事務所のタレントこそ排除しよう!
ヤクザバーニングの庭の演歌界こそ、もっとも反社と強く繋がっているのに、一向に演歌界に飛び火しないどころか、吉本叩きの様相を呈してきてて、不自然すぎる!
演歌歌手がヤクザと写ってる写真なんて腐るほどあるだろ!
国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室のバックのヤクザバーニングを叩き潰そう!
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
醜悪な引退商法して無様に芸能界から逃げ出した負け犬安室のバックのヤクザバーニングを業界から完全に干しましょう。
メディアや芸能界が反社会勢力と繋がっているのが許される時代ではありません。バーニング系と癒着しているメディアの人間もどんどん逮捕していかないと
ヤクザバーニングは北朝鮮系です
あいみょんや新垣結衣や羽鳥慎一や北村一輝や島崎遥香といったヤクザバーニングのタレントを二度と起用させないようにしていきましょう
↓
http://www.officiallyjd.com/archives/430854/
宮根誠司、羽鳥慎一らが所属するバーニング系列事務所の黒い噂…肉弾接待、枕営業、所属タレントらも関与か
http〇s://hay〇abus〇a9.5〇ch.net/test/read〇.cgi/mnewsplus/1559599625/
【俳優】北村一輝はなぜ韓国「反日映画」出演を決めたのか?
htt〇ps:/〇/ww〇w.excite.co.jp/news/article/Cyzo_201504_post_18343/
「“芸能界のドン”は宅見組長が育てた」バーニング周防郁雄社長と暴力団“黒い交際”暴く衝撃ブログ
htt〇ps:/〇/hayabusa9.5〇ch.net/te〇st/read.cgi/mnewsplus/1563257041/
【元AKB48】島崎遥香、電車の優先席に座る会社員に苦言「韓国は素敵だったな〜健康な若者はみんな立ってた」★3
エイベックスもヤクザバーニング系です。エイベックスのトップの松浦の暴力団を使った脅迫行為など上場企業のトップとして決して許されません
↓
https://www.excite.co.jp/news/article/Litera_2781/
エイベックスの問題はブラック労働だけじゃない! 金、パワハラ、暴力団を使った恐喝...背景に松浦社長の体質が
業界でもっとも黒い事務所と言われているライジングもバーニング系です。
ヤクザライジングのタレントを起用させないようにメディアを監視していきましょう!!
特にヤクザライジングと癒着が酷い日テレ関係者を逮捕に追い込んでいきましょう!
↓
http〇s://noma66.co〇m/womantalent/1743/
西内まりやの元事務所ライジングの闇!脱税やヤクザの悪評に圧力の黒い噂?!
.
.
【芸能】佐藤浩市が難病の安倍総理を揶揄し炎上 ネット「ダサい人…」「脚本を変更させ反体制気取ってる頭の悪さに驚いた」 ★4
売国左翼の佐藤浩市を起用している反日企業を叩き潰そう!
佐藤浩市を起用している反日企業はこの三社です
↓
CM キャノンマーケティングジャパン
CM 三井住友信託銀行
CM コカ・コーラ『特選 綾鷹』
+046+4 セブンイレブンのことだから奴隷オーナーと同じ感覚でSE代をケチったんだろw QRコード決済とかめんどくさいだろ
現金のほうがいいわ ソフトバンクのこともありpayと名が付くだけで不安になるな
これから色々なpayが出るのかもしれんが使う気にはなれないな セブンイレブンというブランドが汚れないように
注意して欲しい。 今北産業だけどやっぱりザルだったかwww
そもそも総当たり臭くて、それが可能だった状況があり得ないのに
OAuthの承認鯖で外部IDに番号を振るとか(しかも01〜順とかw!?)
これって7ペイ登録した時点で詰んでるパターンじゃん
やっぱりITの高度技術者を育てていないアホ企業に
新卒一括採用の総合職がのさばってる日本の企業の終わり方は異常過ぎ
そこらのプログラム経験のあるそこそこ古参のIT技術経験者なら
文系でも普通に異常に気づくレベルなのに
仕様書の概要も自分でチェキできない上層部が異常過ぎww
家の鍵がシリンダーか二重ロックか指紋承認キーか閂かも分からない奴が
注文して家を建ててるレベルってモンじゃねー ねえこれ、値切られて急かされたベンダーの責任ですらなくね?
これってセキュリティーを無視して巨大なシステムを作ろうとして
費用を払う承認したのに、契約の中身を読まない依頼主がほぼほぼ悪くね?
明らかに仕様書のセキリュティー承認の部分だけでも概要を把握してれば
絶対に最初からやらないような大きなブラックホールだよね?
SB事件も大概ワザと?っつー仕様だったけどこれも酷くね? セブンペイ社長もゲートウェイとかポロっていってたけど、
QRコード決済の全体像をみると 単体のなんとかペイ というよりも
これらを相互接続、束ねるゲートウェイ事業者ってのが、中核、基盤を形成してるというかんじ。
ゲートウェイ事業者も、クラウドサービスでそれらを実現と。 実際のシステムはどこにあるのかさえもよくわからない。
ペイペイはインドの決済業者、楽天ペイも多国籍チームが開発していると記事になっている。
日本のベンダー、日本人の関与、なんとかペイ事業者そのものの関与も
かぎりなくひくくなっているのではないか。とおもう。 >>368
>ペイペイはインドの決済業者
自分で調べる癖を付けろよ
ペイペイはインドの決済業者のペイタムだったけど
ソフバンとアリペイが共同買収してグループ企業にしてるんだよ
(ザックリ言えばソフバンとアリババのグループ企業で実質三角保ち合い)
つまりね、pay payはある意味アリババのアリペイの存在を消してる分身だよ
ソフバンのyahoo! pay、アリペイ、PayPay、ペイタムは
実質同じであって、どれを選んでも上に居るのはソフバンとアリババ
その奇妙さに気付いてたら何とか payには手を出さ無いよ
セブンも提携にアリペイ、yahoo! payとか居るけど多重に情報抜いてる事に皆んな早く気付け どっちにしてもこれを放置した場合は海外の勢力にまたやられてしまうので
ソフトバンクアリババ連合に頑張ってもらいアジアのpayは抑えないと
またAppleとかMicrosoftとかGoogleとかの連合体に全部美味しいとことられちまう
もうソフトバンクアリババ連合はは国なんだよ
いやなら他の国に移住しなさい ソフバンとアリババなんか日本の連合じゃ無いからwww
海外にーとか言ってるけど中国に財布握らせるアホ論理
アリババのガーファ化を喜べとかアホしか思い付か無いキチガイ論理 日本人が掛けるべきならFeliCaしか無いわボケが >>95
nanacoは、nanacoモバイル以外は原ブツのカードないと使えないし
クレジットカードとのリンクは3Dセキュア経由必須だし
そもそもnanacoガード自体の本人登録に1週間かかる上に
クレジットカードとの紐付けで、最初のクレジット登録から24時間はチャージされず
クレジットカード変更でも、同じインターバル期間ある。
チャージしてもセブン銀行ATMなどで 「残高確認」が必要で、顔が監視カメラにバッチリ映る。
1日の額上限、日 月ごとの回数の上限も一応有るし。
意外とセキュリティ高いと思うよ。
オートチャージにせず、nanacoモバイルで使うのをやらず カードで使うならね。 >>371
すでにGAFAにキンタマ握られまくって
まだユダヤ系やWASPにひれ伏して大金渡しまくるのか?
随分と奴隷根性がしみついたねー! しかしまあ総当たり攻撃が手軽に出来るほどのクソ仕様だったとは泣けてくるなぁ
近年GPUが高騰化していたのは仮想通貨のマイニング目的だけでなく
総当たり攻撃の為に積んでいたのかと >>369
グループ企業ということにまでになっているのか。
出資、提携程度かとおもっていた。
日本のQRコード決済のなかでは、業務形態をオープンにしていてその点においては評価なのだが。
アリババはソフトバンクの傘下企業というより両輪のひとつみたいな形になっているし
事実上の標準をきっちりとりにきているとおもう。 セブンもファミマもペイペイも立ち上げ時、こけたけど、
これが標準なのかもね。 セキュリティをあげると、他社がつかいにくなる。
日本でQRコード決済が、乱立しているようにみえて
アリババ、テンセントがつくった規格、サービスをただ輸入しているのではないかと、と疑っている。
ペイペイ、LINEあたりは中国企業との提携を発表しているからわかりやすいけど、ほかはあまり話したくない印象。
QRコード決済= 中国企業のサービスと、考えたほうがよさそう。 めちゃくちゃやんけ・・・
毎回言ってるけど開始する前に指摘する奴居らんかったんか? ケータイのデータ容量「わけあえる」サービスってあるじゃん?
あれを電子マネーで提供してると思えばいい
あなたの余った銀行預金をセブンで買い物したい不特定多数に「わけあえる」
セブンも不特定多数も喜ぶWIN-WINの関係 サイバーセキュリティ担当大臣が「パソコン使ったことないですけど?なにか?」
こんな国なんだから、これくらいで当たり前。 >>381
セキュリティ関連の企業がいてこれだから、縦割りで風通しの悪い企業連合による開発が垣間見える nanacoでいいじゃんか。もう7Payやめようよ。 セブンペイで、このAPIを使っていたかどうか
がまだコミットメントされてないのでは? というか
このAPIを介さずでもサクサク突破出来たりと あと、oauth的にちゃんと作っても
他所でチャレンジして突破出来てれば、余裕で入れるよね
金銭被害が無きゃ、突破されてても気に留めない人間の方が多いだろうし どうやら脆弱性だらけなので、再開は当分無理でしょう。
それより、おにぎりもらってきたかい? >>68
最初は金扱うシステムじゃなかったんだろ
と思ったらオムニ7って通販系のサイトかよ 7payで、この公開APIをキックしてたかどうかも不明だったり
そんなに手間かけずサクサク入れてたり セキュリティ万全のマンションと思って入居したら
ドアの鍵がダイヤルロックだったでござるの巻 >>122
というよりカギはかけたこたぁ、かけたんだが、
誰にでもコピーできるような安い南京錠をかけたんだよ
安上がりなチェーンキーとかつけると、番号設定してもすぐ初期化できるし、
同じメーカーのキー買ってきたらそのまんま開錠で来たりしてだな・・・ほんまに気休めにしかなりませんw たぶん嘘の名前でも登録できるような
システムなんだろ
そういう設計なんだから
SMS認証とかいれるとPCでできてたことが
携帯必須になったり根本から変える必要がある LINE Payがセブンでキャッシュバックキャンペーンとかやっていて笑った
完全にセブンペイを潰しにきているな FeliCaで良いじゃん。
利便性でQRにしたんな、SMS認証なんか入れたら面倒くさくなって唯一の利便性が無くなるぞw 経産省が元凶だと思うけどな
キャッシュレスの強要されて
経済活動ができない状態 一度7payの仕様書を見てみたいもんだ。
どんなズタボロな仕様書なのか、逆に興味があるw 最初、2段階認証が設定されてなかったってあったけど、
1段階目すらスルーパスだったってこと? payとか商売に結びつかないし様子みたいのが
本音だろう
なのに足並み揃えてとかガバメントハラスメントとか
あるんじゃないか
取り込みたい人たちはpayとか使わない使えないのに
素人が絵を描くと税金が減るだけ どこが受注したとか関係ないんだよ
日本はこんな技術しかないことが露呈しただけ >>367
いや、普通にそうだが
馬鹿はどこが受注したのかを気にしてるようだが >>367
発注元が提示した仕様を基にシステムを構築。
完成後それを検収して、サービスインした。
100%セブンの責任です。 ログインパスワードと
クレジットカードのチャージ認証は破られないようにって
一言書いておけばよかったかw >>5
その辺は韓国の方がすげぇよな!
隣国同士協力し会うべきこの時期に
政治がそれを邪魔してる
日本人として嘆かわしいって怒りを
感じてる人が圧倒的多数だと思う >>415
そんなあやふやな要件じゃ発注先から突き返されるだけだよw >>411
「おまかせで^^」
これを求めれば、極限に最大努力を払って一切の迷惑を資本主に与えない。
これが消費者、金主の心理で正義だろ。
そうなるように法律が作られているし 日本の法律は、どこまでも消費者、弱者有利に出来ている。
と、書いたら否定的に受け止められるだろ? >>399
管理人「セキュリティー万全なんて言った覚えはないぞ」 そんな極端にはなっていないし、そう解らせないように組み上げてある、
7「僕は被害者だぞ!プンプン」
と感じて疑わない。本質は南とかわらん。 被害者と弱者を言い訳にして、社会の価値基準を乱すから、南みたいに堕ちていく、 >>420
この場合セブンイレブンは消費者じゃないからな。
BtoBとBtoCじゃ保護法制も全く違う。 >>42
まじかよ
なんで任意のメアドなんだよ馬鹿か >>406
二段でも三段でも、後から簡単にパスワードが第三者に分かる仕様だった これで「情報流出は客の責任(キリッ」と言い切ったセブンのアレなこと サイバー攻撃自体の攻撃手法も昔からあまりかわらんのだけどな
インジェクションやハイジャックやらパスワードクラックの引数確認したり
ザルすぎる契約と引き渡し検査なだけ、セブンのバカ共が何もわからんで印鑑押しただけ 2段階?
よくわかんないけど、バリアフリーの観点から段なしに決まってるだろ。そんなんつけるな。
とか発注先に言ってそうで笑えん。 ビットコイン市場は取引所が禁止されている中国が牽引している危うい市場
中国政府が本格的な取引規制にのりだしたら大暴落
ビットコイン高騰の黒幕か? 中国マネー流入の経路とその背景に迫る
https://cc.minkabu.jp/news/3216
ビットコイン購入の約45%を占める仮想通貨Qcash(QC)とは
それでは、ビットコイン購入割合の約45%占める(といえなくもない)仮想通貨
Qcash(QC)とはどんな通貨なのでしょうか。
QCash(QC)とは、QTUM上のブロックチェーンで作られた中国の元と紐づけられたペ
ッグ通貨です。
テザーが1USDT=1USDのステーブルコインであるように、Qcashは1QC=1CNY(人民元)です。
Qcashは主に、ZB.com(中国) BW.com(オーストラリア)という取引所で基軸通
貨の一つとして使われています。特にZBでの取引量が多いので、ビットコインの
多くは中国人に買われているといっても過言ではなく、ビットコイン高騰の背景
には中国人投資家の存在があることは間違いありません。
どうやって中国人はビットコインを買っているのか
中国では仮想通貨の取引が禁止されており、CNY建でビットコインをはじめとする
仮想通貨を取引することができません。
そこで登場するのが、Qcash(QC)です。QcashはOTC取引(店頭取引)で市場を介さず
に個人間でCNYと交換できます。 >>414
しかし切られるのは下請けであった…チーンナムナム >>433
納品終わってるんだから、サポート切られるのは元請け側だけどな。 >>1
これ何?
ネットだとかそういう概念が生まれる前の、会社が1つ屋根の下にしかなくて、今まさにその社屋にいるその会社の人間しか使わないソフトウェアを作ってたの? >>292
> すでにicカード決済に対応してるセブンイレブンがなんでわざわざQR決済したがるのか
何のためって訪日外国人様のため。
端から日本人に向けたサービスじゃないんだよ。
日本のFelica(NFC Type-F)はガラパゴス規格なんで、海外で普及していて海外のスマホに載ってるいるNFCとは別物だからね。 >>1
匿名のタロウにIT業界の闇を感じる
専門家なのに名前も出せないとか >>437
そんなのに2段階認証とかSMS認証なんてハードル高い仕組み入れたら使う訪日外国人なんていなくなるぞw
スイカとかパスモあげた方がよっぽど利便性あるだろ。 >>439
国営企業ならともかく、民間企業がそれをやる必要性はどこにもないんだが。
共産主義じゃあるまいし。 >>439
それをしなかった結果、実際にシナゴキブリが犯罪に使ってるんだろうが >>442
スイカにパスモにナナコでそんな事故起きないだろ? ★★★株式会社YAZの求人★★★
【宅配弁当を運んでいた僕が、エンジニアに】
■「いろんなプログラムを書けるようになりたい」
入社後のキャリア面談で、社長に伝えました。すると「全体像を知った方がいいよ」と教えられ、大規模開発のアシスタントに。
さまざまなプログラムを確認する中で、「こんな書き方もあるんだ」と世界が広がり、システム開発におけるプログラミングの重要性を理解できたのです。
■「見ているだけじゃなくて、自分でも書きたい」
そう社長に伝えると、「練習用のプログラムを書けば、いくらでもチェックするよ」その言葉通り、社長は僕の課題をじっくり添削してくれました。
考えてみれば入社直後の研修もそう。「3週間かけて好きなアプリを自由に開発」やりたいことに挑戦し、できることが増えていったのです。
そうして、職業訓練校でプログラミングをかじった程度の僕が、1年後にはシステム開発全体を把握しながら、プログラミングができるまでに。やりたいことを応援してくれる。だから、急成長できました。
※中途入社1年目のエンジニアより
(前職/宅配弁当のエリアマネージャー) 外部認証のIDさえ合致していれば、過去の認証記録を確認せずにAPIがログインOKを返してたってことなの? >>446
もっとザル仕様
名前と住所と生年月日が有れば、どのメアドにも承認キー送ってくれるので
簡単にアカウントに気付かれないでログイン出来たツー事
オムニ7内部ではその様なザル承認仕様で
尚且つ外部で共通ログインが可能なyahoo!やGoogleなどのアカウントに対しては
乗っ取ったアカウントからは割り振られた企業番号しか確認してない
その二つのザルのせいで7payのアカウントパスも総当たりが容易に可能だった >>3
身内であるはずのFC店すら大事にしないからな なんかファミペイのほうもクラックされてないか?
アプリも入れてないもうしこんでもいないのに
認証コードがSMSで送られてきたぞ。 >>447
恐ろしい何それ
これって瑕疵責任を問われるんじゃないの? >>411
ネトウヨが中韓叩きたくて仕方ない
って状況(内政完全にコケてアメリカにもロシアにもカマ掘りレイぷされて残るはもうちゅうかん叩きの外患だけって自民党)だから
我慢しきれないんだわ
はやくちゅうかんのせいって事をハッキリさせろ
日本企業(711)は被害者だ!
とね >>437
?
海外ではQRが一般的だとでも言いたいのか?
QRが普及したのは中国くらいだぞ これ見てもチンプンカンプンだな・・・
頭の良い人は凄いな!
悪人でも尊敬するわw >>441
日銀と年金とによる株購入見れば
すでに社会共産主義なんすが、この国は 最近変なメールが毎日数十件来るんだけど
どうやってアドレスバレるのか不思議なんだよな・・・ 下請けがわざとガバガバのシステム作ってその情報を犯罪組織に売り飛ばしたと疑われても仕方ないな こんな深刻な事態と被害を引き起こしても総務省も経産省も放置とかありえんわ
天下り先であれば何しでかしてもいいとしか思ってないんだな 単独アプリを7iD統合アプリに土壇場改変した時に
「よそにはないカンタンさがうちのウリだ!」
をぶち上げた7のおエライさんがいたということだな
そこで
支払い時に手間を出来るだけかけない
が絶対正義に置かれて
大切な何かが音を立てて崩れたと
こういった「大切ななにかの見失い」が来年のオリンピックでも一斉開花するんだな >>463
ここまでガバガバを気付かない発注者
ってのは、それだけで完璧な犯罪者だが>>456 >>463
逆だと思うぞw
7は未だに世界最悪レベルの奴隷FCを改善せず
働きやすいとかほざいてFC募集してる気違い鬼畜サイコパスの群れだぞ
今頃自分らが金をケチるとかのために糞にした仕様や経緯を無視して
請負先や下請けに全責任なすりつけて発狂してるよ
そのうちIT企業は損切りするんじゃね? わかりやすく言えば、APIと連携するためのパスワードを
1から順番に発行していったということか >>445
弁当配達のマネージャーでもできるのかよぉ
おいおい
もうこのシステムに関わった人全員調書取ったらどうだ? >>470
それな。正直、できるわけがないんだよ。
出来ない人間が、やってる。っていうのがこの世界の現状 脆弱性がどーのこーのってレベルですらないな
ダイヤル錠と同じレベル >>470
それ
経歴詐称して現場に入るのは常識
教科書学んだだけで三年選手と詐称するのもザラ
酷いと瑞穂のような、ロクな実務経験もなければ趣味の延長でしか経験がない素人が新人の指導をして潰す
そして、当人は何も責任を感じずに周りから嫌われパワハラに発展する
まぁどいつもこいつも一回死んだ方がええわな 脆弱性は知らないやつの難癖
7payを別アプリにして解決 >>474
いや趣味でSEやってるだけそいつのがマシ(´・ω・`)
興味もねえ向上心もねえ新人は何一つ覚えないからな
身体動かすだけでどうにかなる世界じゃねえ これひょっとして過去にフランチャイズオーナーとして搾取されて店が潰れた人が一念発起してSEになってセブンイレブンに復習した
とかではないよな 外部IDじゃなくてセブンIDならこのハッキングは心配ないと思っていいのか? セブンペイというこの糞システムが、店舗の現場が頑張って出した店の売上から巻き上げたチャージと、オーナーに借金させて商品仕入れさせてる金から生まれたってんだから笑えない >>479
さあ?
まあ疑ってもいいぐらい怪しいけど
ブレーキ踏むとアクセルになる自動車売ってたメーカーの他の車を買いたいか?って話 ソーシャルログインって
普通ログインとアプリへの許可を求められるよな
それが省略出来る時点でOAuthじゃなくね?
あるいはOAuthはちゃんと作ってたけど誰でも簡単に入れる裏口があったって意味か? >>5
そりゃ日本はITに素人連れてくる業界だからな。
病院に例えると、NEETだったやつを連れてきて、OJTと称して患者に注射してるような状態。
何事も失敗から学ぶことが重要、とか平気で抜かしおる。 >>482
簡単に言うとだな。
連携したいシステム(LINEとか) → 7pay(オムニ7の認証用API)
こうあったときにな。
連携したいシステムは、7payのオムニ7に連携したいんだけど、どうすればいい?って聞くんだよ
そして7payは、連携したいって連絡あったけどOK?ってユーザーに聞くわけよ。
そしてユーザーはOKするだろ?そうするとオムニ7は連携したいシステムに
専用のパスワードを渡すんだよ。この用途にしか使えない専用のパスワード。
その専用のパスワードが誰でも簡単に推測できるものだったというわけ
1. LINE「連携用パスワード教えて!」
2. 7pay「OK、OK、じゃあ L1234 で!」
3. LINE「よっしゃー、パスワードL1234でアクセスできたで!」
4. ワルモン「1から順番に試してみて、L1234でアクセスできたで!」 OAuthの認可コードフローの場合
7payのアプリをGoogleのような外部IDプロバイダに登録しておいて
普通は以下の流れを取る
7payのアプリ側からGoogleのIDを渡す必要なんて全く無いはず
1. 7payのアプリのID、ログイン後のリダイレクト先、スコープ(アプリに与える権限のリスト)、CSRF防止用のトークン文字列をパラメータに入れてGoogleのOAuthサーバーにリクエスト
2. ユーザーはGoogleアカウントでログインして、アプリ名と権限一覧を確認後、許可を出す
3. Googleは短時間だけ有効な認可コード(とCSRF防止トークン)をパラメータにつけて、7payにリダイレクト。有効期間は外部IDプロバイダによって異なるが、1〜10分程度が普通らしい。
4. 7payのサーバーはCSRFトークンをチェック後、認可コードを使ってアクセストークン、リフレッシュトークンを取得
5. アクセストークンを使ってアカウントからGoogleの情報を取得
6. アクセストークンは期限があるので、定期的にリフレッシュが必要 >>437
外人はクレカだろ
QRなんて糞なものをコンビニでは使わないよ >>479
今回発見された、小学生レベルのミスは関係なかったな
今時セブンなんて使うなよ。ましてやネットで使うとかもうありえないよ 最低最悪の糞、奴隷使いのセブンイレブン不使用しててよかったー!!!! 正しいOAuthの実装
・外部IDプロバイダから(LINEとかGoogleとか)認可コードを受け取って、サーバー側でアクセストークンと交換。
・アクセストークンでGoogleアカウントの情報を取得し、一致するユーザーを「サーバー側で」ログイン処理。7payのAPIトークンをクライアントへ返す。
7payの誤ったOAuth実装
・認可コードを受け取ってアクセストークンと交換
・アクセストークンからでGoogleアカウントの情報を取得し、クライアントに返す
・クライアントからアカウントの情報を7payのサーバーにリクエストを送り、ログイン処理してもらってトークンを返す
なんか7payの誤ったやり方の方が回りくどい気がするけど
何のためだろう? >>5
ほんとその通り
国が衰退してるのを肌で感じるわ 情弱はすぐ餌にされる
ネットをしってるものはせいぜいクレカどまり >外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
お巡りさん、コッチです マンションの部屋には鍵がかかってるけど部屋番号が書いていない郵便受け群の中に鍵が入ってて誰でも無限に自由に持ち出せる状態 >>33
×性善説で育った民族ゆえに色々と甘いな
○性善説+IT知らない上層部が部下の脆弱性指摘を納期理由に押し切った問題作ゆえに穴開き放題遊び放題
今までの遺漏事件でコスト対効果で一番効率良かったんじゃね 昔の漫画の1・2のアッホとか激烈バカというのを久しぶりに思い出した 数値IDだけでログイン出来るようにする
トンデモ仕様書にしたのは誰だ!
あるいはそもそも仕様書に書いてないから
テキトーにやった? 脆弱性なんて生易しいレベルじゃないだろwwww
デモ用のテストサイトそのままリリースしじたんじゃねーの?www 自分たちにとって問題が起きない限り何の対策もしないのが日本企業の常
その前に7payみたいに挽回のしようもないくらいに信用が失墜した終わり >>495
性善説っつうか自分は偉いのだから何しても許されるって思ってる愚かなのが多いだけでは 難しいと店頭で客が加入してくれないからね、仕方ないね >>498
ちょっと話がそれるけど、ビットコインのサトシ・ナカモトって金子さんだったんじゃないかと思ってる。 システム開発の人件費も、コンビニバイトの時給並みじゃないと納得しないアタマなんだろうなw >>376
流石にレッドチームに入るつもりは無い
お前が半島なり大陸に帰れ システムは本業じゃない、本業じゃないものは軽視していいって意識が根強くこびりついてるからね OAuth認証自体ログイン認証用でなくむしろ使ってはいけない
しかし不正検知システムと併用するとか補助できるし
使ったから馬鹿っていうほどのことでもない >>341
いや
受付に「田中なんていないよ」って言われたら
「佐藤だったわ」って適当に名前いえば入れると言う事 >>437
普通に空港でスイカ配ってるし
それで事足りるんだけどな 今日おさいふponta作った
Loppiで数分で作れたよ
nanacoとはおさらばだ 7pay残高使い切ること出来ないみたい
不足分は返金で、ってnanaco支払いの時はやってたからしようとしたら出来なかった >>489
自分の知っている情報と違うけどなんでかな
7payでやりたかったことは、一度認証したら以後スルーパスで簡単に使えること
7payの問題は認証を端末と紐付けなかったこと
そのため一度認証が通ったアカウントは他の端末からでもアクセスできた
攻撃者はアカウント名を類推するだけで自由にログインできた
そしてこれ自身は問題だが、実際に攻撃に使われたものとは別の脆弱性で、匿名の識者が明らかにしたもの 自分使ってるのはアマゾンとpaypalだしな
ここら辺は常に攻撃される事を前提にシステムが作られてるから強固 >>477
通常、作業の分担が分かれてるから単独犯ではないな
こういう仕組みにするよ→それはこういうソースコードで実現するよ
→実際のソースコードに書き起こすよ→ちゃんと動いたかテストするよ
ほぼ間違いなく、この各段階で担当者が異なるし、それぞれの段階で他人のチェックが入る
単独犯が仕様を決めてコーディングしてテストして、
しかも全て自分しかチェックしないと単独犯で、意図的に欠陥を入れ込むは無理だ 少なく見積っても、10人以上の専門家がデザインレビューに参加したと思うんだが、なんでこんなことになったのか・・・? 激安で発注したからゲーム会社で使われたソースコードを流用したって説があるね ユーザーの情報が漏れてたらしいので
セキュリティシステムは関係ないのだよ なんでいまさらこんな記事が?
総当り楽勝openIDだったのはとっくに出てたじゃん
もうちょっと詳細にかかれたってだけ? ■ このスレッドは過去ログ倉庫に格納されています