【速報】7pay、パスワードなしでログイン出来る脆弱性が判明
■ このスレッドは過去ログ倉庫に格納されています
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn 原発ゼロより在日ゼロ
在日朝鮮人の居ない綺麗な社会を!>>2
在日ゴキブリ何処にも要らない!❌♂♀
社会を汚すな!寄生虫(在日朝鮮人)!
在日朝鮮人ゴキブリの居ない豊かな社会を!
合言葉は「在日ゼロ!」令和の時代にふさわしい! だからSuicaに統一しろってあれほど言ってんだろ Paypayもだけど、ワザとじゃなきゃあり得ない話 自分のミスと時短営業は認めない
それがセブンイレブン本部 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。 モバイルナナコの残高121円まで減らした
あとは使いきってアンインストールすればいいだけ
クレカの紐つけ解除、できたっけ? ちょwwwwwwwwwwwwwwwwwwwwwwww
悪いこと言わん。早く会社畳めよ。 どうやったらこの時代に大企業の大規模運用システムが信じがたいほど低セキュリティに仕上がるんだ?
工業高校の部活にでもシステム発注したの? パスワードすら機能してなかったのかよ?!
冗談顔だけにしろよ? >>16
スイカを導入しない店
できない店があるからじゃないか?
正直、クレカが使える店なら
スイカもidもグイックペッも要らない シナとジャップに狙われるからセキュリティしっかりしろよwwww >>16
スイカも不正利用されたと訴えてる人いるようだ。
JRは、すらっとぼけて対応してくれないんだってさ。 これがジャップランドの技術なんだよなぁ
世界に誇る技術の日本(笑) オーナーとの揉め事についてはちょっと同情的に見てた面もあったけどこれはワロタ >>16
頑なに広めないってわけじゃないけど、ハードウェアのコストの問題だったような。 セキュリティ専門家がこういうのを調べるのはなんで不正アクセスにならんの? 変なところは凝ってるのにな
別のところはガバガバってのもおかしな話に見えるけど >>27
大手がノウハウもないのに下請けに丸投げするとこうなる。 >>1
7pay おわたーーー!!ε=ε=ε=ε=ε=ε=┌(; ̄◇ ̄)┘ >>1
>外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
なんじゃそりゃああああああああああああああ! ソフトウェア後進国のニッポンにはITは早いのでは? 途中で仕様が変わって結構なデスマーチスケジュールだったらしいね
ご苦労様で 雑誌の付録CDの入ってるサンプルコードそのまま使ってももっとマシなシステム組めるだろ nanaco不要になってくるわけだけど、昨日進出した沖縄ではnanacoの新規入会いっぱい来たみたいね ほら まだまだ出てきたろ?
早よ畳んだ方がいいよって会見後に言ったのにね OPEN ID導入するも、本人かどうか確認するチェック機能積まず、
やる事が中途半端で、詐欺られたって事か… これ開発の時にレビューとかテストとかやってるのか? システム担ったとこどこだよ
セブンやそこが上位にいる限り日本に蓋し続けるわ >>3
普通のまともな在日日本人
「原発ゼロよりバイ菌在日日本人ゼロ😂
ID:HExiDQx60みたいなバイ菌在日日本人の居ない綺麗な社会を!
在日バイ菌ガチで何処にも要らない!❌🙅??♂🙅??♀
社会を汚すな!本物の寄生虫(ID:HExiDQx60みたいなバイ菌在日日本人)!😃
ID:HExiDQx60みたいな在日日本人バイ菌の居ないガチで豊かな社会を!🌟
本物の合言葉は「バイ菌在日日本人ゼロ!」令和の時代にふさわしい!」 ハッシュ化済パスワードから平文を復元てそんな簡単じゃないだろ 今までnanaco運用してて、よくセキュリティ守れてたな 外注してたのか 俺が最近、初めて作ったシステムの方がよっぽど強固だわなw もうすぐ大本命のAppleカードが出るから
安心して待てばいい 問題を起こしてるomni7の開発はこの4社
・NTTデータ
・NEC
・NRI
・Oracle
いつもの2社が入ってる… 専門家から「何が問題なのかわかってないのが問題」とは言われてたが… >>42
その会社から依頼があって調べる場合は大丈夫なんだろ?
知らんけどw フランチャイズでぼったくった金を
こんなドブに捨てるようなシステムにぶっこんだのか >>16
Suicaはポイントではなくて現金だから。 色んな人のクビが飛ぶんだろうな・・・
ようやくデスマから開放されたであろう人たち、大丈夫かな 7pay「7/11なんやから何がなんでも7月11日までにリリースしろや!」
ってホント? パスワードがなくてもログインできるってどういうこと?
セッションとかそういうの無視でアクセスできちゃうってこと?
え?どういうことなの???? >>72
あの社長ほんとさっぱりわかってなかったもんな… >>63
先日の会見の幹部の無知っぷりと大企業の性質を照らし合わせると容易に想像つく >>59
Tポイント流出問題視から別の決済方法など模索してたファミマと違って、
paypay見て動いた様な感じだし、そんな時間さえ無かったんじゃね? とにかくさっさと作れ!とりあえず作れ!
だったんだろうよ。
ちょうどファミマも大々的にキャンペーンとか
やるって言い出した時期だし、
とにかくファミマに遅れを取るなってことだけを
最優先にした結果がこれでしょうな。 paypayとLINEpay使えるようになったんだし、もう7payいらないじゃん
ユー撤回しちゃいなyo 他のIDでのログイン中を偽装してログインできてしまうということ?
TwitterやFacebookにログインしていないと7payで認証が通らないのであれば別にセキュリティホールとは言わないだろう >>27
ギリギリで仕様変えてテストしなかったらしい
>>37
やってなかったというか、できなかったらしい 7pay「損害は全部Nが持て」「全部Nのカネで直せ」
ってホント? ■ このスレッドは過去ログ倉庫に格納されています