7pay、攻撃にメルアドすら必要なかった 連番IDを総当たり→APIがトークン返す→犯人ログイン可能

スポンサーリンク
7pay、攻撃にメルアドすら必要なかった 連番IDを総当たり→APIがトークン返す→犯人ログイン可能
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN
https://www.businessinsider.jp/post-194660
7pay取材班
15h BUSINESS
7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。
一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。
Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。
不正アクセス犯はどんな手口で侵入したのかを探る。
7月11日、7payは当初の発表から1日前倒す形で外部ID(Yahoo!、Google、Facebook、Twitter、LINE)を急遽、遮断した。
プログラマーを中心とする複数の協力者が解析したところによると、7payには外部ID連携の「設計」に、そもそも大きな問題があった。
首都圏の大手IT企業でエンジニアとして働く解析協力者の一人、タロウさん(仮名)が匿名を条件にそのメカニズムを解説する。
7pay解析の協力者
タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
(略)
// ■要約
// 「リクエストされたユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」
スポンサーリンク
ネットの反応


第三者がパスワードリセットできた
↓
第三者がパスワードなしでログインできた
↓
第三者が何も知らなくてもログインできた ←いまここ!


>>4
さすがにこれ以上はないだろ
もう思いつかないよな?w


20年前に作られたのかこれ?


>>7
さすがに30年前じゃね?


外部連携してなけりゃセーフ?


>>8
パスワードなしでもログイン可能
他人がアクセスして勝手にパスワードとメアド変えられる
使いたければどうぞ


7秒でPayされる


>>10
これ好き


まるで俺が突貫で作ったAPIみたいだ


こんなシステム過去にあったかなあ?


>>21
PSNだったか、出来たばかりの頃に自分のIDでログインさえしておけば
URLのIDの数字いじるかなんだったか方法は忘れたけど、とにかく他人のアカウントに入り放題だった


>>43
ソニーはノーインジェクションでネットサービスした男前だからなw


俺が小学生の頃運営してた掲示板よりひどい


>>37
今日一番笑った


ハッキング入門なのこれ?


>>44
簡単過ぎてクラッキングの練習台にもならない
初めてのネット犯罪体験用かな?


キャッシュレス決済はこういうのが怖い


ここに個人情報を預けるのはもう金輪際ないだろうな
セキュリティ管理以前のレベル


いいぞ
どんどんやらかして
セキュリティ業界に金を回してくれ


…これさ、脆弱性診断とかやってないの?
設計がアホなのが一番の問題だけど、まともな機関に診断させたら
実際のサービスを始める前に問題は見つかると思うんだけどな


>>85
社長曰く、脆弱性テストはやった
まともなテストだったかは知らん


>>532
脆弱性がないか確かめるためにプログラム作ったパソコンを軽く叩いてみました!
だったらどうしよう


Pay系で撤退はいまのところないと思うけど、
7Payが初の撤退になりそうね


>>93
撤退というかシステムがない


ここら辺の仕様って規準とか決まってんじゃねーの?
一から全部構築じゃなく、先達が作り上げた遺産とかゴロゴロ転がっていると思うんだが。


外部システムに乗っかっときゃよかったのに
遅れまいと急いで作ったはてがこれか


マイクロソフト「もうすぐパスワードがいらない社会が来る」(セキュリティの発達で)
セブンペイ「我が社はすでにパスワードいらないシステム作りました」(セキュリティの解消で)
言ってることは同じなんだが、やってることがすげー違うな。


クレジット会社も補償したくねえだろこんなの


ハカー:俺ID123456だけどLINEで連携してるんだよ
セブン:(その組み合わせは合ってないな)…ダメ
ハカー:俺ID123456だけどYahoo!で連携してるんだよ
セブン:(その組み合わせ正しいな)…OK、通っていいよ
こういうこと?


>>157
いや、そのレベルにすら到達していないww


>>164
どんだけだ…


なんとかペイ乱立しすぎだから、これは中止で良いでしょ
こんな汚点ついたらもう逆転の目は無い
傷が広がる前に止めるきっかけ出来て良かったと思わないと


金融庁から査察が来るレベル
少子化の原因、Fラン大学のせいだった
歴史上最も世界統一に近いとこまでいった人物ランキング1位って
勇者「勇者パーティーの独立を決心した」
【朗報】波瑠さん、可愛すぎるwwwww(※画像あり)
なんJ、恵方巻対策本部
お前らが人生で後悔していること上げていけ
スポンサーリンク
ディスカッション
コメント一覧
まだ、コメントがありません