国内ニュース

7pay、パスワードなしで他人のアカウントにログイン出来る脆弱性が判明★2

1: サーバル ★ 2019/07/12(金) 23:58:53.54 ID:Q2aYQduP9

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn

★1 :2019/07/12(金) 21:54:11.59

※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562936051/

 

スポンサーリンク
スポンサーリンク

ネットの声

410: 名無しさん@1周年 2019/07/13(土) 05:51:32.05 ID:JyL/B/g10
>>1
セブンpayってボンクラなの?Σ(゚д゚lll)

 

482: 名無しさん@1周年 2019/07/13(土) 07:39:13.23 ID:Fej3rNO70
>>1
>パスワードなしで他人のアカウントにログインできる脆弱性があったという。
パス無しの意味が分らんかったがそういうことかw
自分のカギ開けるとそこから他人のアカに入れると言う事だね
プログラム作ったの中学生かよwwwwwwwwwwwwwww
もう一度フローからキチンと構築しなおせwwwwww

 

551: 実況ひらめん 2019/07/13(土) 08:26:54.43 ID:ie/DgAGU0
>>1
「顧客データベースにフリーでアクセスできる状況に近かった」

もうやめちまえ
犯罪企業
wwww(´・・ω` つ )

 

553: 名無しさん@1周年 2019/07/13(土) 08:27:30.96 ID:erl7Q9U50
>>1 バカすぎる。
こいつらテストとかしねえのかよw

 

534: 名無しさん@1周年 2019/07/13(土) 08:10:59.73 ID:9uT+TiRt0
ナナコ「私を捨てたセブンを許さない」

 

537: 名無しさん@1周年 2019/07/13(土) 08:11:22.45 ID:5/V5uNO60
セブン曰くセキュリティは利便性とのトレードオフらしいな
パスワード無しでログイン可能とかセブンは大層ユーザ想いなんだな

 

564: 名無しさん@1周年 2019/07/13(土) 08:38:44.92 ID:pcEEneZR0
>>537
クレジットカードもパスワードなしで使えるんだが当たり前だからみんな何も言わないけどセキュリティ的には相当レベルが低いね

 

631: 名無しさん@1周年 2019/07/13(土) 09:27:17.69 ID:ii4MAG+e0
>>564
クレジット会社は不正使用に対するリスクも請け負っている
若者向け小売りが万引きによる不利益を予め計算に入れているのと同じ

 

634: 名無しさん@1周年 2019/07/13(土) 09:28:52.33 ID:dHBWeAik0
>>631
手数料の高さはそれだからな
だから利益の薄い小規模な個人店は導入できない

 

544: 名無しさん@1周年 2019/07/13(土) 08:21:03.04 ID:BDHXB0uo0
被害者はお金は戻ったのかな?

 

550: 名無しさん@1周年 2019/07/13(土) 08:26:13.29 ID:NMv1F4IO0
なんでSuicaに代表されるFelicaにしなかったんだ
システムもセキュリティも既に定評あるし導入コストだって大手のセブンなら問題ないだろ

 

559: 名無しさん@1周年 2019/07/13(土) 08:32:21.57 ID:gvKq7VNB0
セイブンイレブンは典型な日本型企業っぽそうだな
社員は天国だろうが頭が昭和脳

 

561: 名無しさん@1周年 2019/07/13(土) 08:34:32.89 ID:QH4GMGHM0
セブンが率先して詐欺の片棒を担いでたと言われたらむしろ納得するレベルのガバガバ出しな

 

565: 名無しさん@1周年 2019/07/13(土) 08:40:50.70 ID:pcEEneZR0
セキュリティ考えるとクレジットカードもパスワードくらい必須にすべきなんだけどね

 

568: 名無しさん@1周年 2019/07/13(土) 08:42:44.27 ID:UoV9aiPe0
メルペイ、LINE PayはさすがITだけあってミスしないな。
paypayはやらかしたがリカバーしたしな。

天下り社長がアレだし、親会社も知識がないんだろうな。

 

569: 名無しさん@1周年 2019/07/13(土) 08:42:57.42 ID:/WmFTr0E0
沖縄出店の方に話題を流したかったんだろうに
フランチャイズ問題といい、しばらく火種は燻りそうだな

 

576: 名無しさん@1周年 2019/07/13(土) 08:46:42.90 ID:042zJs+e0
ザルどころかザルすらなかった
 

 

578: 名無しさん@1周年 2019/07/13(土) 08:48:43.76 ID:kYUGN51T0
企画取りやめて全額返金しとけよ、マジで
もう致命傷だが、放置すると感染症になる

 

581: 名無しさん@1周年 2019/07/13(土) 08:49:26.34 ID:yIKXsAU/0
paypayって現金化できんのな、クソ

 

589: 名無しさん@1周年 2019/07/13(土) 08:58:15.09 ID:GHv7tJEe0
>>581
なんだかんだ店舗や提供者側の都合なんだよな。顧客の利便性を第一に考えたサービスなんて○○payにはまるで無い。

 

582: 名無しさん@1周年 2019/07/13(土) 08:50:21.41 ID:CtVS3rNq0
>パスワードなしで他人のアカウントにログインできる脆弱性
トップも役員もよくこんな糞設計でGoサインだしたなw こいつらの責任がもっともデカイで 

 

587: 名無しさん@1周年 2019/07/13(土) 08:56:58.23 ID:G69weoqA0
>>582
営業畑でPCもろくに使わない老人しかいないのだろう

 

584: 名無しさん@1周年 2019/07/13(土) 08:51:24.06 ID:pcEEneZR0
アップルの発表したクレジットカードは番号が載らないらしい

利用時のセキュリティはどうなってるのかわからないがクレジットカードが一歩進んだかな

https://www.google.co.jp/amp/s/jp.techcrunch.com/2019/03/30/2019-03-28-how-apple-card-works/amp/

 

591: 名無しさん@1周年 2019/07/13(土) 09:02:41.11 ID:G69weoqA0
増税を機会にキャッシュレスが進むと言ってる人もいるけど
逆に現金の信用度がさらに高まりそうだな

 

604: 名無しさん@1周年 2019/07/13(土) 09:12:47.22 ID:GHv7tJEe0
>>591
俺はキャッシュレス推進を面白くない立場で見てるメーカーの者だが、こういう事案が出ると安心するw
停電やセキュリティの懸念は常にしてたが、地震や乗っ取りログインで想定どおりの欠陥が露呈してる。

 

610: 名無しさん@1周年 2019/07/13(土) 09:16:45.93 ID:pcEEneZR0
>>604
ATM製造業者とか?

 

622: 名無しさん@1周年 2019/07/13(土) 09:23:36.78 ID:ii4MAG+e0
>>591
キャッシュレスならばFelica系でいいんだけれどな。決済もすぐだし個人情報も渡さなくていい
購買情報がほしい各社がQR決済を推しまくっている

 

600: 名無しさん@1周年 2019/07/13(土) 09:08:30.44 ID:YPWkfB5t0
セブンもあれだがこういう犯罪って
貨幣偽造と同等な刑罰を適用できないのかな

海外からアクセスされたら無理だけど

 

602: 名無しさん@1周年 2019/07/13(土) 09:09:23.35 ID:HPf71L2C0
パスワード無しでログインて自給200円くらいのSEにでも丸投げしたんか?

 

603: 名無しさん@1周年 2019/07/13(土) 09:11:14.80 ID:ZTacVjZR0
菜七子のポイント戻してよ
これだけやらかしたんだから5倍ぐらいあげて責任とれよ

 

606: 名無しさん@1周年 2019/07/13(土) 09:13:50.82 ID:HyJwmNZU0
セブンペイあきらめて楽天ペイ使えるようにしろ

 

612: 名無しさん@1周年 2019/07/13(土) 09:19:01.06 ID:HcAbc7Ek0
ハズレ付きサービスとか斬新

 

621: 名無しさん@1周年 2019/07/13(土) 09:23:19.16 ID:7bpoJyEa0
次はURL直接打ち込みでログイン回避して望みのページへ移動できるとかやりそうw

 

635: 名無しさん@1周年 2019/07/13(土) 09:29:07.79 ID:z2Z1tJnE0
クレジットカード登録する方も不用心すぎるわ

こんなのは面倒臭くても使う分だけ店でチャージして利用するべき
還元率が高ければ面倒なのも我慢できるやろ

 

637: 名無しさん@1周年 2019/07/13(土) 09:31:30.34 ID:gjDPFwjU0
>>635
7payは1日のチャージ限度額を自由に設定できた?
もし出来たのなら無制限にしてた利用者も馬鹿だろ

 

639: 名無しさん@1周年 2019/07/13(土) 09:32:03.26 ID:ZBKb616J0
いつもニッコニッコリ現金払いのわし高みの見物じゃ(^ω^)

 

引用元: http://asahi.5ch.net/test/read.cgi/newsplus/1562943533/

コメント

  1. おーるじゃんるな名無しさん より:

    とりあえずセブンは被害者に金銭的保証してあげてね
    お前ら無能すぎる・・・
    ワイはナナコしか使ってないが不安になるレベルや

  2. 匿名 より:

    セブンイレブンってアメリカ企業じゃ?

スポンサーリンク
スポンサーリンク