【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★3
■ このスレッドは過去ログ倉庫に格納されています
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn
★1 :2019/07/12(金) 21:54:11.59
※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562943533/ nanacoでいいのに
セブンのためにカード2枚も持つの面倒 あの社長じゃどんなザルでも驚かない
というかよくあんなど素人をQRペイの社長にしたんだな >>2
それ本当?
もしフェイクだったら公職選挙法に引っかかる時期だけど どこのサイトか分かれば
証明書から色々分かりそうなもんだが
https://??????/
誰か分からない? 韓国に対して 物言う吉本芸人を排除したがっている芸能界とマスコミの在日チョン勢力の手管が卑しすぎる!
ヤクザバーニングみたいなチョン系のヤクザ事務所のタレントこそ排除しよう!
ヤクザバーニングの庭の演歌界こそ、もっとも反社と強く繋がっているのに、一向に演歌界に飛び火しないどころか、吉本叩きの様相を呈してきてて、不自然すぎる!
演歌歌手がヤクザと写ってる写真なんて腐るほどあるだろ!
国歌斉唱を拒否し、沖縄の売国左翼に協力した反日クズ女の安室のバックのヤクザバーニングを叩き潰そう!
特に売国キチガイ左翼紙の沖縄タイムスと安室の癒着が酷い
醜悪な引退商法して無様に芸能界から逃げ出した負け犬安室のバックのヤクザバーニングを業界から完全に干しましょう。
メディアや芸能界が反社会勢力と繋がっているのが許される時代ではありません。バーニング系と癒着しているメディアの人間もどんどん逮捕していかないと
ヤクザバーニングは北朝鮮系です
あいみょんや新垣結衣や羽鳥慎一や北村一輝といったヤクザバーニングのタレントを二度と起用させないようにしていきましょう
↓
http://www.officiallyjd.com/archives/430854/
宮根誠司、羽鳥慎一らが所属するバーニング系列事務所の黒い噂…肉弾接待、枕営業、所属タレントらも関与か
http〇s://hay〇abus〇a9.5〇ch.net/test/read〇.cgi/mnewsplus/1559599625/
【俳優】北村一輝はなぜ韓国「反日映画」出演を決めたのか?
htt〇ps:/〇/ww〇w.excite.co.jp/news/article/Cyzo_201504_post_18343/
「“芸能界のドン”は宅見組長が育てた」バーニング周防郁雄社長と暴力団“黒い交際”暴く衝撃ブログ
エイベックスもヤクザバーニング系です。エイベックスのトップの松浦の暴力団を使った脅迫行為など上場企業のトップとして決して許されません
↓
https://www.excite.co.jp/news/article/Litera_2781/
エイベックスの問題はブラック労働だけじゃない! 金、パワハラ、暴力団を使った恐喝...背景に松浦社長の体質が
業界でもっとも黒い事務所と言われているライジングもバーニング系です。
ヤクザライジングのタレントを起用させないようにメディアを監視していきましょう!!
特にヤクザライジングと癒着が酷い日テレ関係者を逮捕に追い込んでいきましょう!
↓
http〇s://noma66.co〇m/womantalent/1743/
西内まりやの元事務所ライジングの闇!脱税やヤクザの悪評に圧力の黒い噂?!
.
.
【芸能】佐藤浩市が難病の安倍総理を揶揄し炎上 ネット「ダサい人…」「脚本を変更させ反体制気取ってる頭の悪さに驚いた」 ★4
売国左翼の佐藤浩市を起用している反日企業を叩き潰そう!
佐藤浩市を起用している反日企業はこの三社です
↓
CM キャノンマーケティングジャパン
CM 三井住友信託銀行
CM コカ・コーラ『特選 綾鷹』
+627095 5chは既に在日チョンに買収されているのをご存知ですか?
↓
http://irohamatumae.blog.jp/archives/19087374.html
2chの譲渡先、5chの代理人弁護士は通名のしばき隊員
【民主党=立憲民主党の正体】
韓国民団生野支部での民主党議員の挨拶【在日参政権を約束】
http://www.nicozon.net/watch/sm9751328
菅 直人(民主) 日本人拉致犯 シンガンス釈放署名
江田五月(民主) 日本人拉致犯 シンガンス釈放署名
千葉景子(民主) 日本人拉致犯 シンガンス釈放署名
岡田克也(民主) 「拉致被害者を北朝鮮に戻すべき」と主張
岡崎トミ子(民主) 慰安婦への謝罪と賠償法案 8回提出
福山哲郎(民主) 陳哲郎
白眞勲 (民主) 元韓国籍
土肥隆一(民主) 朝鮮京城に出生
中井洽 (民主) 吉林省長春に出生
辻元清美(民主) ピースボート創設(北朝鮮組織)
辻元清美(民主) 「私は国家の枠を崩壊させる国壊議員」
有田芳生(民主) 嫌韓デモの法規制 「ネットで書いたら逮捕!」
末松義規(民主) 「在日朝鮮人に選挙権を与えよう!」
角田義一(民主) 朝鮮組織から献金 2500万闇献金疑惑
前原誠司(民主) 「外国人参政権を成立させる」と民団で約束
安住 淳 (民主) 大震災の年に「韓国に5兆円支援」の財務大臣
山岡賢次(民主) (「金賢二」、通名は「金子賢二」、後に「藤野賢次」→「山岡賢次」)
.
.
270905 >>1
これでゴーサイン出した奴は馬鹿だろw
電子決済を使わない人が増えるんじゃね?
俺はイオンのプリペイドしか使わないから、よくは知らないけど。 脆弱性って言うとなんか他人ごとだけど
設計ミスだろ もう、みんなでSuica使おうぜ。Suica最強だろ。 >>9
ザルですらない
紙が貼られてない金魚すくいのポイとかそういうレベル >>20
素人が犯罪組織に発注してしまったとしか思えないレベル 所詮奴隸産業で樂をして來た業界だからITなんてどだい無理w どこかのバイトに作らせたのか
コンビニバイト「俺、プログラム作れますよ」
社長「そうか、やらせてみるか」 導入コストが安い導入コストが安いって言って
胴元が導入コストをけちった結果w ひょっとしてCM自粛してる?
録画視聴主体でCM飛ばしてるんでわからない ぴゃーーーーーーーーーーーーーーーーーーーーーー
決済サービスってレベルじゃねーぞ?wwwwwwwww やべえ………
omni7とかセブン銀行もやべえんじゃねえのかこれ………… > FacebookやTwitter、LINE
ここらへんのアカウント持っているなら、セキュリティーがざるでも別によくねw 国としてはセブンから金融関係の許可を全て取り消す必要があるのでは これ記事書いてるやつもナナメ読みしてるやつも理解してないだろ
IDパスなしでもログインできるってのはウソで外部連携したサービスのIDパスが必要になるだろ 一端廃止してnanacoペイとして統合化して再スタートした方が良いんじゃない? クレジットカードを登録してアプリにチャージをしてコード決済するキャッシュバック乞食w
クレジットカードで払えばいいのにwww いやいやいやちょっとおかしくね?
7payって何よ?
怖すぎやろ… リリースしてからフィードバックで修正するスタイルなんじゃないの?w
ソフトウェア関連は全く知らないけど >>56
その外部IDのサービスはどこもお漏らししまくりで安全感がないところばかりだが・ >>74
外部サービスがパスワード流失させるのは7ペイの責任とは言い切れないし
外部連携ってそういうものなんだけどな >>1
合同キャンペーンやってるのに7ペイだけ乗り遅れ
何やってんだか ヤフーが他人事のように叩いてるのが笑える
ここも同じようなことしでかしたくせに 国や団体が定めるセキュリティガイドラインにすら従っていなかったのであれば、
セブンイレブンのシステムは相当ひどいね
セブン銀行とかセブンイレブンのATMとかってセキュリティは大丈夫なのか? れんこんかなんかの郷土色で相当数が躓くとみている。 金融系や決済系のサービスを新たに展開する場合は
事前に監査機関による調査が必要とかないの? 電力自由化と一緒で手数料だけで上澄み頂くだけの舐めた楽な商売してっからしっぺ返し食らうんだよ フランチャイズオーナーをドミナントで殺すわ
電子決済はガバガバだわでセブンイレブンおわてるやん パスワード漏洩させたフェイスブックには罰金5400億円
日本も消費者に混乱起こさせた企業には、企業へ罰をくわえろよ
https://www.asahi.com/articles/ASM7F3CTNM7FUHBI01C.html >>9
フラフープの輪っかか紙貼ってない障子レベル ものを知らんトップが無茶な期限を設定して
現場は質を下げて納期に間に合わせるしかなく、結果このザマって感じ? 7ペイがセキュリティ的に問題があったのは確かだけど
まとめサイトにのせられて叩いてるやつも中身理解してないやつが多いよな
日本のセキュリティ教育大丈夫なのかよ 全被害額の賠償は全てGoサインの判子押した奴に負わせろ ビットコみたいなもんだろ
北朝鮮に送金されるだけだぞ、こんなもの 幾ら何でもこれは酷過ぎワロスwww
パス自体を全部無効にされるきじゃくせいなんて聞いたこと無いwww ■ このスレッドは過去ログ倉庫に格納されています
