【悲報】セブンペイ、パスワードなしでログインできてしまうwwwwwwwww ネット『素人やん』



1 名前:サーバル ★[] 投稿日:2019/07/12(金) 21:54:11.59 ID:fKPhIUb79

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45

 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。

日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。

「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り

 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。

外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。

あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。

「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。




2 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 21:54:28.09 ID:MFJXLXA30
こえー


5 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 21:55:17.67 ID:OS6ArDxM0
文句しか言えない老害が経営するとこうなるんだね


6 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 21:55:20.23 ID:dO1XGMC80
他にもたくさん脆弱性がありそう


12 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 21:55:53.74 ID:cOirbDBm0
だからSuicaに統一しろってあれほど言ってんだろ


16 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 21:56:27.32 ID:1x4qMRs70
何で頑なにSuicaを広めようとしないわけ?


75 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 22:02:49.29 ID:9L40Dcvf0 [2/2]
>>16
Suicaはポイントではなくて現金だから。


136 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 22:06:47.22 ID:1moKF57G0 [1/2]
>>16
導入コストってよく言われるけど、200万台無料で配ればたった100億で未来永劫手数料取れるのに、それをしないJRがゴミって日本マイクロソフト社長が言ってた


21 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 21:57:22.63 ID:1GJU+ANp0 [1/3]
モバイルナナコの残高121円まで減らした
あとは使いきってアンインストールすればいいだけ
クレカの紐つけ解除、できたっけ?


28 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 21:58:17.91 ID:2/49BGtN0
素人レベル


51 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 22:00:18.50 ID:sM0KXSsb0
でも、止めません


63 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 22:01:37.38 ID:NvWz7ZbF0
なんでこんなことが起きてるんだ


72 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 22:02:39.06 ID:qkGU9zGW0 [1/3]
専門家から「何が問題なのかわかってないのが問題」とは言われてたが…


86 名前:名無しさん@1周年[] 投稿日:2019/07/12(金) 22:03:21.71 ID:9brIsEkS0 [3/5]
>>72
あの社長ほんとさっぱりわかってなかったもんな…


88 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 22:03:25.74 ID:hO55StfM0
>>63
先日の会見の幹部の無知っぷりと大企業の性質を照らし合わせると容易に想像つく


93 名前:名無しさん@1周年[sage] 投稿日:2019/07/12(金) 22:03:48.22 ID:j127NS7L0
おにぎりの代償はでかかったようだな


元スレ


この記事へのコメント



最近のコメント!