パスワードを忘れた? アカウント作成

セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道」記事へのコメント

  • [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
    https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]

    が分かりやすいです。

    ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。

    【脆弱1 : OpenID Connectのアクセストークン未検証】

    OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、
    パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。
    あまりにも酷すぎる脆弱性ですね!

    【脆弱性2 : 7iD の API のアクセ

    • by Anonymous Coward on 2019年07月12日 21時37分 (#3651031)

      結局のところ、7payは、OAuthの認証が成功したというデータを送り付けるだけで、OpenIDのID(メールアドレス等)が分かるだけでログインできたのでした。

      つまり、チャージされた残高は、メールアドレスさえわかれば、第三者が使用可能でした。

      そして、登録されているクレジットカードからのチャージには、OpenIDでログインした場合を含めて追加で認証パスワードが必要なのですが、
      OpenIDでログインした状態ならば画面に表示される、お問い合わせ番号、7iDメアド、nanaco番号(すべてアプリに表示)だけあれば、それもリセットできました。
      https://twitter.com/ppp_payland/status/1146924240970514432 [twitter.com]

      7payの悪用はリスト型攻撃だと言われてましたが、メールアドレスとパスワードのリストではなく、メールアドレスだけのリストで攻撃可能だったのです。

      まぁ、リスト型攻撃には変わりないといったら変わりないのですが……。

      • by Anonymous Coward

        すげーなー、というしかないなぁ。
        7payと社長が矢面に立たされ袋叩きにされたけど、実際はベンダーの方の責任の可能性が高いってことか。
        今後のことを考えると、どこなのか公開して欲しいところ・・・

        • でも、その成果物を受け取って検収し、サービスインしたのは7-11側なので一義的に責任は7-11側にある。
          どこがベンダーであっても一緒ですよ。それをもってサービス提供側をを甘やかしてはならない。

          • by Anonymous Coward

            確かにそうだが、検証できるだけの技術ある人もいないだろうに。まぁそれが問題なんだけど。

            なんで日本の大企業は自分とこで技術者抱えて作ろうとしないんだろ。
            本当にバカだよねぇ。

            • by Anonymous Coward

              脳筋脳花企業では往々にしてシステム屋と言う「何か訳のわからん事をやっている奴ら」は隅っこに追いやられるか、子会社に追放される。

        • by Anonymous Coward

          そういう業者に発注したのもセブン側でしょ。

          とりあえずモックだけ作って本格実装は後回しにして開発進めていたら、その開発
          期間では無理です、実装が間に合いませんと問題を申告した技術者が本部の意向で
          左遷されて、後任のYESマンはなにもわからず本部の言われるとおりにした結果、
          本番環境でもモックのままサービスインしてしまった...
          みたいなことだって、ありえるんだから。

          合言葉は「動いているから良いじゃない」。

          責任者が被害しゃぶるのは良くないよ。

          • by Anonymous Coward

            苦汁「しゃぶれよ」

          • by Anonymous Coward

            あるいは
            発注者側責任者『何か起きたら全部責任は俺が取る!』と豪語する

            900件5500万円のクラック被害発生、セブングループとコード決済の信用が地に落ちる

            発注者側責任者『』、あるいは他グループ、競合他社に夜逃げ、あるいは首吊り自殺

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...