1: 稼げる名無しさん 2019/07/12(金) 21:54:11.59
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
パスワード無しで他人のアカウントにログインできるって・・・。
これ滅茶苦茶やばいんじゃないかお?
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
こんな基本のところが出来ていないと、他にも色々マズイところがありそうな気がするな。
一旦全体をチェックするのが優先だろうと思うな。
現在よく読まれているニュース!:
以下2chの反応と管理人の反応です
2: 稼げる名無しさん 2019/07/12(金) 21:54:28.09 ID:MFJXLXA30.net
こえー
6: 稼げる名無しさん 2019/07/12(金) 21:55:20.23 ID:dO1XGMC80.net
他にもたくさん脆弱性がありそう
8: 稼げる名無しさん 2019/07/12(金) 21:55:21.30 ID:ZXIAnDKr0.net
ゆるゆる
9: 稼げる名無しさん 2019/07/12(金) 21:55:31.70 ID:9L40Dcvf0.net
無能すぎる
13: 稼げる名無しさん 2019/07/12(金) 21:56:04.37 ID:GtAsnvwk0.net
2段階認証あってもダメだっただろこれ
15: 稼げる名無しさん 2019/07/12(金) 21:56:27.26 ID:QriurdeM0.net
パスワードってなに?
ってレベルかよ
ってレベルかよ
22: 稼げる名無しさん 2019/07/12(金) 21:57:25.85 ID:H4Ct5Mvx0.net
ちょwwwwwwwwwwwwwwwwwwwwwwww
悪いこと言わん。早く会社畳めよ。
悪いこと言わん。早く会社畳めよ。
25: 稼げる名無しさん 2019/07/12(金) 21:57:48.19 ID:58TkHRvR0.net
どういうことだよマジで
113: 稼げる名無しさん 2019/07/12(金) 22:05:14.41 ID:Ehodf3Jx0.net
>>25
Aで認証したトークンを
セブンでは「OK」で管理していたとか
次回からはAで認証しなくても「OK」と書かれたものがきたら認証したとみなして処理
こんなレベルかなw
Aで認証したトークンを
セブンでは「OK」で管理していたとか
次回からはAで認証しなくても「OK」と書かれたものがきたら認証したとみなして処理
こんなレベルかなw
27: 稼げる名無しさん 2019/07/12(金) 21:58:00.66 ID:5Tbh6WHq0.net
どうやったらこの時代に大企業の大規模運用システムが信じがたいほど低セキュリティに仕上がるんだ?
工業高校の部活にでもシステム発注したの?
工業高校の部活にでもシステム発注したの?
45: 稼げる名無しさん 2019/07/12(金) 21:59:41.29 ID:XlKgeDd60.net
>>27
大手がノウハウもないのに下請けに丸投げするとこうなる。
大手がノウハウもないのに下請けに丸投げするとこうなる。
96: 稼げる名無しさん 2019/07/12(金) 22:03:56.25 ID:qkGU9zGW0.net
>>27
ギリギリで仕様変えてテストしなかったらしい
ギリギリで仕様変えてテストしなかったらしい
263: 稼げる名無しさん 2019/07/12(金) 22:18:32.95 ID:wVLR2RN60.net
>>96
導入しちゃえーd=(^o^)=b
バカしかいないのか
導入しちゃえーd=(^o^)=b
バカしかいないのか
30: 稼げる名無しさん 2019/07/12(金) 21:58:31.67 ID:9brIsEkS0.net
パスワードすら機能してなかったのかよ?!
冗談顔だけにしろよ?
冗談顔だけにしろよ?
37: 稼げる名無しさん 2019/07/12(金) 21:59:24.06 ID:QGGTxnh00.net
これで脆弱性テストやってたってどういうことなの
96: 稼げる名無しさん 2019/07/12(金) 22:03:56.25 ID:qkGU9zGW0.net
>>37
やってなかったというか、できなかったらしい
やってなかったというか、できなかったらしい
39: 稼げる名無しさん 2019/07/12(金) 21:59:33.69 ID:9c5ioHwG0.net
オーナーとの揉め事についてはちょっと同情的に見てた面もあったけどこれはワロタ
48: 稼げる名無しさん 2019/07/12(金) 21:59:57.72 ID:fTiVtyEs0.net
>>1
7pay おわたーーー!!ε=ε=ε=ε=ε=ε=┌(; ̄◇ ̄)┘
7pay おわたーーー!!ε=ε=ε=ε=ε=ε=┌(; ̄◇ ̄)┘
49: 稼げる名無しさん 2019/07/12(金) 21:59:59.08 ID:UlxCj9gE0.net
>>1
>外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
なんじゃそりゃああああああああああああああ!
>外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
なんじゃそりゃああああああああああああああ!
58: 稼げる名無しさん 2019/07/12(金) 22:01:21.36 ID:1XY8DxBm0.net
OPEN ID導入するも、本人かどうか確認するチェック機能積まず、
やる事が中途半端で、詐欺られたって事か…
やる事が中途半端で、詐欺られたって事か…
61: 稼げる名無しさん 2019/07/12(金) 22:01:30.26 ID:CaxPr1bT0.net
>>1
グダグダだな… 一度停止して見直したら?
グダグダだな… 一度停止して見直したら?
63: 稼げる名無しさん 2019/07/12(金) 22:01:37.38 ID:NvWz7ZbF0.net
なんでこんなことが起きてるんだ
関連記事:【7pay】不正利用で緊急会見を行う
現在よく読まれている記事:
引用元:ai.2ch.sc/test/read.cgi/newsplus/1562936051/
コメント
コメント一覧 (19)
サービスのガワだけ独自やっているんじゃないのか?
小林「パスワード・・・?
次は何???
あれから全然かわってねえ〜
五輪同様に韓国?あるいは中国?
突貫で作った件数だけは多くてもザルみたいなテストとか
(最悪オープンの勢いで県民多数登録でさらに被害額題していた)
とはいえこれは最悪だろ…誰だよこんな問題だらけのペイOK出したの…
コメントする