この記事をシェアする!

セブンペイ、メルアドがなくても攻撃可能だった… 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人がログイン可能に…

この記事をシェアする!

00 名無しのおすすめ
1: 名無しのニュー即 2019/07/16(火) 19:37:44.12

7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。

一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。

Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。

(続きはソースで)
【全文ソース・引用元】
グラフ・図などは下記のソースでご覧ください。

狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不...

00 名無しのおすすめ

81: 名無しのニュー即 2019/07/16(火) 19:49:13.33
>>1
固定idのおかげで総当たりする桁数も減るんだな。

99: 名無しのニュー即 2019/07/16(火) 19:51:31.13
>>1
ソフトバンクのPayPayでも総当たり攻撃が可能だったらしいのに・・・
それ以下のセキュリティ?

168: 名無しのニュー即 2019/07/16(火) 19:58:43.78

>>99
それと同じとみていい

クレカも上6桁と下1桁は固定
上6桁が発行会社で下一桁はチェックディジットだから

136: 名無しのニュー即 2019/07/16(火) 19:55:36.85

>>1
アプリ経由専用暗号化する
アプリ外部ID認証サーバー間で同期チェックする
USER パスワード認証キー暗号化 アプリ経由 3回ミスしたら
発信元探知  おとりサーバーから認証トークンを返す
攻撃元を特定

参加したチーム企業メンバー全員バカってすごいことなんだろう
上には具申できない日和見大企業のサラリーマンの生き様だな

313: 名無しのニュー即 2019/07/16(火) 20:15:58.50
>>1
コレ開発会社も損害賠償レベルだろ
どこが開発したんだ?

430: 名無しのニュー即 2019/07/16(火) 20:30:29.47
>>1
霞が関は早くこの会社に業務停止命令出せよ

435: 名無しのニュー即 2019/07/16(火) 20:31:36.67
>>1
ありえねぇw
仕様決めたやつもソース書いたやつも正気の沙汰じゃねぇだろw

493: 名無しのニュー即 2019/07/16(火) 20:40:02.03

>>1
>>7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。

7/11 www
セブンイレブンが地獄に落ちる記念日だなwww

599: 名無しのニュー即 2019/07/16(火) 20:55:29.76
>>1
酷えwww

714: 名無しのニュー即 2019/07/16(火) 21:32:26.40
>>1
プログラマーの土左衛門まだー

762: 名無しのニュー即 2019/07/16(火) 22:04:09.15
>>1
これ中華にアプリ作らせてたんじゃないのか?

765: 名無しのニュー即 2019/07/16(火) 22:06:06.53
>>762
それ、2chの妄想。
日本のNRIが作ったのになぜか中国のせいにしてる。

769: 名無しのニュー即 2019/07/16(火) 22:09:05.99
>>765
NRIが一次受けってだけでしょうに

779: 名無しのニュー即 2019/07/16(火) 22:20:22.72
>>1
ガバガバガバナンスwwwwwwwwwwwwwwwwwwwwwwww

795: 名無しのニュー即 2019/07/16(火) 22:33:49.05
>>1
いや、そもそも、総当たりって何だよ? 3回間違えたら数時間利用できません、監視の目も更に厳しくなります とかじゃないのかよ・・・

800: 名無しのニュー即 2019/07/16(火) 22:36:44.81
>>1
ニュースだと、今原因を究明中だそうだ。
原因があり過ぎて大変そう。

847: 名無しのニュー即 2019/07/16(火) 23:27:17.87

>>1
えっ?は?

つまり外部idにログインした状態で、クッキーなんかに埋め込まれたid数列を書き換えれば、好きな7payアカウントを奪取できた…?だ、と

2: 名無しのニュー即 2019/07/16(火) 19:38:19.97
昭和レベルだな・・・

00 名無しのおすすめ

4: 名無しのニュー即 2019/07/16(火) 19:39:22.83
第三者がパスワードリセットできた

第三者がパスワードなしでログインできた

第三者が何も知らなくてもログインできた ←いまここ!

306: 名無しのニュー即 2019/07/16(火) 20:15:27.07
>>4
コレ、反社に金渡す為にワザと穴開けとるやろw

337: 名無しのニュー即 2019/07/16(火) 20:19:17.98
>>4
すごい

352: 名無しのニュー即 2019/07/16(火) 20:20:33.22
>>4
ワロタッシュwwwwwwwwwww

433: 名無しのニュー即 2019/07/16(火) 20:31:09.39
>>4
無防備マン、助けて!

448: 名無しのニュー即 2019/07/16(火) 20:33:27.09
>>4
三段活用か

461: 名無しのニュー即 2019/07/16(火) 20:35:08.92
>>4
うわぁ…

804: 名無しのニュー即 2019/07/16(火) 22:39:12.72
>>4
ハッカーがハニーポットを疑うレベル

866: 名無しのニュー即 2019/07/16(火) 23:48:19.96
>>4
これはすごいね。

5: 名無しのニュー即 2019/07/16(火) 19:39:23.10
トークンの宝石箱や

10: 名無しのニュー即 2019/07/16(火) 19:40:35.95
7秒でPayされる

330: 名無しのニュー即 2019/07/16(火) 20:18:32.54
>>10
これはもっと評価されていい

687: 名無しのニュー即 2019/07/16(火) 21:17:56.43
>>10
これ好き

12: 名無しのニュー即 2019/07/16(火) 19:40:55.41
これでもなおサービス停止しないとか、もはや犯罪幇助組織でしかないな

13: 名無しのニュー即 2019/07/16(火) 19:41:10.44

パスワードなくてもログインできるらしいですね
今朝ニュースで言ってました

セキュリティ以前の問題

58: 名無しのニュー即 2019/07/16(火) 19:46:06.03
>>13
パスワードなしっていうかトークンがパスワードがわりみたいなもん
普通本人認証したあとこいつは大丈夫ってことでトークン発行するんだけど手当たり次第アカウント叩いたらトークンもらえるというw

15: 名無しのニュー即 2019/07/16(火) 19:41:17.58
アホ過ぎる。
よくこんな企画OK出したな。
開発責任者は打ち首獄門はまぬがれない。

16: 名無しのニュー即 2019/07/16(火) 19:41:25.12
まさか、そんなアホなw

17: 名無しのニュー即 2019/07/16(火) 19:41:25.68
まるで俺が突貫で作ったAPIみたいだ

315: 名無しのニュー即 2019/07/16(火) 20:16:21.61
>>17
いやお前に突貫で作らせる方がまだマシなものができるだろう
これはもうそれなりに発言力と決定権がある人間の誰かが
セブン潰すためにわざとやったとしか思えん

18: 名無しのニュー即 2019/07/16(火) 19:41:30.42
おそらくセブンの社内システムもこの程度のセキュリテイと思われる

19: 名無しのニュー即 2019/07/16(火) 19:41:40.43
どのくらいの期間でシステム作ったの?

608: 名無しのニュー即 2019/07/16(火) 20:57:20.23
>>19
期間もだけど誰がシステム構築したかだよなぁ…
役所がシナに委託してたみたいな悪寒が…

20: 名無しのニュー即 2019/07/16(火) 19:41:42.85
セキュリティが低いどころか存在しなかったとは

21: 名無しのニュー即 2019/07/16(火) 19:41:45.86
こんなシステム過去にあったかなあ?

32: 名無しのニュー即 2019/07/16(火) 19:43:03.74
>>21
セブンは過去もやってる
ネット通販で客の情報にパスワードかけずにサーバーに保存

グーグルにすべて拾われる

客から指摘されて「客が操作を間違えたのが悪い!!」と逆切れ
なお顧客情報、買い物履歴、クレカ情報が流出

ネット通販サイトの名称を変えて知らんフリ

36: 名無しのニュー即 2019/07/16(火) 19:43:54.92
>>32
セブンにはあったのかw

46: 名無しのニュー即 2019/07/16(火) 19:44:42.99
>>32
夢みたいな話やな

437: 名無しのニュー即 2019/07/16(火) 20:31:48.25
>>46
ヘブンペイ

707: 名無しのニュー即 2019/07/16(火) 21:28:18.29
>>32
本当なら、今回の事件を起こすのは必然だな。

715: 名無しのニュー即 2019/07/16(火) 21:32:58.49

>>32
まじか~

せめて朝日新聞みたいにメタタグ仕込んどけよ


00 名無しのおすすめ

24: 名無しのニュー即 2019/07/16(火) 19:42:01.05
3000人弱のSIerらしいが、どこなんだ?

705: 名無しのニュー即 2019/07/16(火) 21:26:25.64
>>24
3000人近くいて、どうしてこんなことに…

708: 名無しのニュー即 2019/07/16(火) 21:28:54.03
>>705
牛の糞で家立ててるアフリカの職人が3000人いてもビルは立たない

27: 名無しのニュー即 2019/07/16(火) 19:42:10.08
当然何回も来てもエラー判断してなかったんだろうなw

29: 名無しのニュー即 2019/07/16(火) 19:42:28.72
これならノーガードでいいじゃん

30: 名無しのニュー即 2019/07/16(火) 19:42:33.58
スマホでapi叩いてんのかw
整数で行けるんなら手作業でもそこそこ抜けるな
pcなら数百から数千はぬける

33: 名無しのニュー即 2019/07/16(火) 19:43:17.07
セキュリティ担当誰だよw
っていうか居なかっただろw

38: 名無しのニュー即 2019/07/16(火) 19:44:11.69
わろたw
幾ら何でも雑過ぎんだろ

41: 名無しのニュー即 2019/07/16(火) 19:44:29.77
このIDは使用されています、みたいなものか

53: 名無しのニュー即 2019/07/16(火) 19:45:43.16
このシステム受託したのどこよ?

57: 名無しのニュー即 2019/07/16(火) 19:45:55.15
パスワード12桁を設定してた人でも突破されたといってたな
先週
そもそもそのパスワードすらいらないシステムだったとは

66: 名無しのニュー即 2019/07/16(火) 19:47:29.81
暇なやつもいるもんだな

75: 名無しのニュー即 2019/07/16(火) 19:48:45.56
運営側の無能さが白日のもとにww
商品開発は良いのに経営陣がゴミでした

76: 名無しのニュー即 2019/07/16(火) 19:48:53.67
セブン♪イレブン♪いい気分♪

127: 名無しのニュー即 2019/07/16(火) 19:54:13.16
>>76
いい気なもんだ

107: 名無しのニュー即 2019/07/16(火) 19:52:33.11
IT後進国はこれやから…

【脆弱性】7pay、攻撃にメルアドすら必要なし 連番のID(n桁の整数)を総当たりする→APIがトークン返す→犯人ログイン可能
元スレ:http://asahi.5ch.net/test/read.cgi/newsplus/1563273464/