【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★2
■ このスレッドは過去ログ倉庫に格納されています
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn
★1 :2019/07/12(金) 21:54:11.59
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562936051/ やっぱIT先進国の韓国に頭を下げて教えを請わないとダメだね >>2
スーパーハッカーの北朝鮮に瀬取りというアナログ手法で媚びをうる韓国? っていうか
セブン以外のペイも絶対に使わない
Suicaで十分 キャッシュレスとは、財布に穴をあけることとみつけたり 踏み台の詐欺サイト経由で認可コード横取りされたんじゃね 下を叩くだけでいい企業は潰れたらいいよ。
いくらサービスが良くても、穢れたサービスなんて胸糞。 忘れたパスワードを任意のメールアドレスに送ってもらえるとか? これは外部IDでログインしているユーザーがどう気をつけていてもしょうがないな 散々pay押ししてた特アの在日共が
被害にあって火病らねーかな >>16
責任は発注者(7)だよ
作った現場の大工はプロ 【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か | BUSINESS INSIDER JAPAN
※年末に「開発仕様」と「開発業者」が変更
https://www.businessinsider.jp/post-194302 みんな楽天ペイ導入しろよ
大手で使う気になって国内資本で今のところ問題起こしてないのここだけだろ
バーコードは楽天ペイ、FelicaはSuica
これが一番便利だからスタンダードになってくれ >>27
何かそういや楽天初期の頃に店の人が楽天はセキュリティが強固とか言ってたな
あれはホントだったのかな 2年か3年前にセブンのATMから18億円が。
何か関連があるのかね
10%になってもポイントのためにカードなんか使わない 俺は Apple PayにSuicaとQUICPay入れてあるけどこれで十分だわ 何人の担当者のクビが飛ぶの?
つか、日本大丈夫?こんな事ばっかりで >>27
FeliCaとクレジットカードで充分かなと思ってる
コード決済は普及してもしなくても多分使わない >>34
もう無理じゃないかなあ
派遣認めた時点で終わった まぁたぶん政府の工作だなw
被害者は政府の広報員ww >>34
誰も責任を取らないのが日本。
まずは、社長以下取締役どもが、
株主代表訴訟の餌食にならんと。 金はいくらでもあったのによくこんなクソな仕事できたなあ
誰も止める人がいなかったのか >>36
FeliCa搭載のsimフリー機もっと増えてほしいよなあ
ピクセルは良さそうだけど >>34
このケースの責任担当って、受注した会社のSEやPGでなくて、
急な仕様変更を認可した7側の役員クラスね しれっと書いてあるけど、ハッシュ化した暗号から平文に復元なんてできるの? >>1
ここの会社ヤバすぎだな
今までも使ってないけど今後はクレカとか重要性高い情報ガチで使わないことにする
楽天やTカードと違って自分が関わる前にボロ出してくれて助かった >>41
セブンは所詮、流通系だからな
セキュリティっつー見えないモノに金払いを渋ったんだろう
他人の時間をタダだと思ってるからな奴ら
コンビニオーナーとの争いみててもそう思う >>37
お前みたいなバカが増えたからだろ。何でも小泉ガーで済ませるバカ。
プログラマなんか元々派遣だバカ。 むしろ実装できてた部分を探した方が早いんじゃないかww >>40
前の社長は雇われなのに自分の息子に継がせたがってる疑惑だけで追放されてたのに
今の社長がのうのうと続けてたら酷いとしか言いようないな >>48
すげえバカがやってきたw
まじウケるw
素で言ってんの??? >>44
20世紀中に重要な用途では使用禁止になってる
md5くらいならあるいは nanacoもカードに書いている番号でログインできちゃうし
カード盗まれたらどうするんだよ
普通、初回のログインでパスワード設定させるだろ
どんだけ頭が弱い奴がやってんだよ やっぱやめました。ゼロからやり直します。の方が信頼できそうだな。 >>30
と聞いて、
ライディーンを思い出した私は50代 >>1
> LINEなど5つの外部サービスのIDを使ったログイン
韓国諜報機関が作ったアプリをログインに利用させるとか頭おかしい >>29
楽天は楽天で2段階認証無いんだよな…payだけではなく通販サイトの時点で >>53
元のパスがしょぼければ回せばいいだけって気付いてないのかな? >>1
やっぱりこれか?
■セブン-イレブン、2018年の全店展開目指して顔認証の実証実験を開始
ttps://tech.nikkeibp.co.jp/it/atcl/news/17/092902364/
>店舗管理端末は従業員の給与や勤怠情報、客の個人情報や会員情報、公共料金の支払い情報といった重要情報を格納する。
各種の決済や荷物の受け取りといったサービスが増えるにつれて、取り扱う個人情報も増えているという。
従来のパスワードを使った認証ではパスワードの紛失や漏洩の恐れがあるため、セキュリティ強化が課題だった。
>顔認証を導入する準備作業は専用プログラムをダウンロードするだけという。 >>44
レインボーテーブルでググれ
決済情報取り扱う場合はハッシュにソルトを付加する >>59
未だに韓国とかどーとか言ってライン拒んでる奴いんのか
そういう奴って生きるのめんどいだろw 井阪、いつまで逃げまわってんねん
やっぱり、鈴木の足元にも及ばんな >>2
在コの子供部屋おじさんは
ひきこもりでセブンにさえ行けないんだろ?w >>1
API がサポート切れの struts1 で、データベースもサポート切れの Oracle Database 10g らしいな。 >>70
アカウント乗っ取り被害が出てる時点で
LINEもFacebookも認証に使うべきじゃないよ
それは普通の感覚じゃね
よくドロボー入られる家と同じ鍵付けるとかバカだろ しかし、ここまで大きな問題が出てないLINEや楽天って
5chにバカにされてたけどすごい技術力があったんじゃ >>26
この記事で、基本、独自開発をやめて、まるなげしたって話だものな。
なんとかペイシリーズの決済を一斉に導入したわけだし、
将来的には、個人間決済、セブンペイもこのシリーズの仲間いり、相互提携までかんがえていただろうし。
いっしょに天下とりましょうよ、と提案されて、ハンコおしちゃったかんじなんでないの。
セブンIDの基幹のシステムとは別物、別会社にみえる。 元をたどれば消費税増税するためにコード支払いに税金投入してる政府のせい >>41
カネがあっても担当者が業務のキモを知ってる訳では無いからな。
恐らく2段階認証だって提案されてもやらなくても大丈夫だから削れって言われたんだろ。
上の人も書いてるけど流通系の考え方は「1円でも安い方を使えば良い、業者は契約で縛れば良い」だから。
クラッカーには全く通用しないけど。
セブンイレブンの依頼に合わせて作った結果がコレ。ベンダーの技術力云々の問題では無いと思う。 新しいサービスは半年くらい放置して様子見た方がいいな
中がどうなってるかなんてわかりにくいし >>52
お決まりの小泉ガーを連呼して草生やして必死だな
使えないバカの典型だわ >>89
連呼なんかしてないけどなあ
幻覚を見てるのかなあ
キチガイ低学歴怖い怖い
こういう奴がシステムわかってねえーんだよなあ セブンイレブンの弁当は劣化してるぞ
20年前はもっと食えたが最近のは劣悪すぎる
なんで改善していかずに退化するんだよ セキュリティホール発覚しても、穴塞がないままで動かし続けてるとこが一番信頼できない。
ここの判断は7-11側だろ。 nanacoあるんだから無理する必要なんかなかったんや
Appleに土下座してApple Payでnanaco使えるようにすればいいだけだったのに オープンIDとか信用してなかったから
どのサイトでも固有のIDしか使わなかった
俺には先見の明がある >>83
なんだ
テメエで言ってること矛盾してんのか
笑かすわ ■ このスレッドは過去ログ倉庫に格納されています