パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道」記事へのコメント

  • [独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
    https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ [nikkeibp.co.jp]

    が分かりやすいです。

    ただし、上記記事は、全く異なる2つの脆弱性の話が書かれているので、混同しないようにご注意ください。

    【脆弱1 : OpenID Connectのアクセストークン未検証】

    OpenID Connectのアクセストークンを検証していなかったので、ID(メールアドレス等)さえわかれば、
    パスワードが分からなくても、OAuthが成功したことにして他人がログインできる脆弱性があった。
    あまりにも酷すぎる脆弱性ですね!

    【脆弱性2 : 7iD の API のアクセ

    • by Anonymous Coward

      脆弱性2の方はTwitterで検証ツイートが出回ってたやつですね
      https://twitter.com/bulkneets/status/1147460171066560512 [twitter.com]
      まあ仰るとおり仕様とも言えますし騒ぐほどの事でもないかなと。

      問題は脆弱性1の方で、何人かは事件後に気付いてたようですが、さすがに口外した人はいなかったですね。
      パスワードリセットのメールが来ていない被害者が乗っ取られたのはこれを悪用されたと見て間違いないんじゃないかと。

      • by Anonymous Coward

        > これを悪用されたと見て間違いないんじゃないかと。

        この手口は使われていないと広報が新聞に答えてますね。

        セブンHDによると、専門家から、セブン―イレブンアプリに外部のIDから接続するシステムに欠陥があり、個人情報が他者から見られる危険性があると指摘されたという。「今のところ情報漏洩の形跡はない」(広報)という。
        https://www.asahi.com/articles/ASM7C647CM7CULFA02D.html [asahi.com]

        この手口だとすると不可解なのは、逮捕された出し子には、パスワードを伝えていたというのをどう説明するのか。

        出し子に脆弱性1でログインさせたわけではないとすると、どうやってパスワードを得たのか?

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...