アカウント名:
パスワード:
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明 https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
脆弱性2の方はTwitterで検証ツイートが出回ってたやつですねhttps://twitter.com/bulkneets/status/1147460171066560512 [twitter.com]まあ仰るとおり仕様とも言えますし騒ぐほどの事でもないかなと。
問題は脆弱性1の方で、何人かは事件後に気付いてたようですが、さすがに口外した人はいなかったですね。パスワードリセットのメールが来ていない被害者が乗っ取られたのはこれを悪用されたと見て間違いないんじゃないかと。
> これを悪用されたと見て間違いないんじゃないかと。
この手口は使われていないと広報が新聞に答えてますね。
セブンHDによると、専門家から、セブン―イレブンアプリに外部のIDから接続するシステムに欠陥があり、個人情報が他者から見られる危険性があると指摘されたという。「今のところ情報漏洩の形跡はない」(広報)という。https://www.asahi.com/articles/ASM7C647CM7CULFA02D.html [asahi.com]
この手口だとすると不可解なのは、逮捕された出し子には、パスワードを伝えていたというのをどう説明するのか。
出し子に脆弱性1でログインさせたわけではないとすると、どうやってパスワードを得たのか?
親コメ見て、ええ…これはヤバ過ぎるだろ、と思いながら見てたけど、それですら無いのか。なんだこのセキュリティホールのバーゲンセールは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
パスワードなしで他人のアカウントにログインできた (スコア:5, 参考になる)
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]
が分かりやすいです。
ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。
【脆弱1 : OpenID Connectのアクセストークン未検証】
OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、
パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。
あまりにも酷すぎる脆弱性ですね!
【脆弱性2 : 7iD の API のアクセ
Re: (スコア:0)
脆弱性2の方はTwitterで検証ツイートが出回ってたやつですね
https://twitter.com/bulkneets/status/1147460171066560512 [twitter.com]
まあ仰るとおり仕様とも言えますし騒ぐほどの事でもないかなと。
問題は脆弱性1の方で、何人かは事件後に気付いてたようですが、さすがに口外した人はいなかったですね。
パスワードリセットのメールが来ていない被害者が乗っ取られたのはこれを悪用されたと見て間違いないんじゃないかと。
Re: (スコア:0)
> これを悪用されたと見て間違いないんじゃないかと。
この手口は使われていないと広報が新聞に答えてますね。
この手口だとすると不可解なのは、逮捕された出し子には、パスワードを伝えていたというのをどう説明するのか。
出し子に脆弱性1でログインさせたわけではないとすると、どうやってパスワードを得たのか?
Re:パスワードなしで他人のアカウントにログインできた (スコア:0)
親コメ見て、ええ…これはヤバ過ぎるだろ、と思いながら見てたけど、それですら無いのか。なんだこのセキュリティホールのバーゲンセールは?