パスワードなしでログインできる7payに潜んでいた脆弱性

日付:
トップ > 7pay > パスワードなしでログインできる7payに潜んでいた脆弱性
1: 2019/07/12(金) 23:58:53.54
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
2019/07/12 20:45
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
TayebMEZAHDIA / Pixabay

 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。

関連記事:7payで外部IDからのログインを遮断へ、不正利用巡り
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/?n_cid=nbpnxt_twbn

★1 :2019/07/12(金) 21:54:11.59

※前スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1562936051/

引用元: ・【速報】7pay、パスワードなしでログイン出来る脆弱性が判明★2

3: 2019/07/13(土) 00:00:15.86
新米ハッカーの練習台みたいになってるな
142: 2019/07/13(土) 00:48:30.34
>>3
そらもう世界中から総攻撃よwwwww
5: 2019/07/13(土) 00:02:16.73
nanacoのポイント率を戻せ
15: 2019/07/13(土) 00:06:41.53
集金PAYの魔の手
17: 2019/07/13(土) 00:08:16.26
下を叩くだけでいい企業は潰れたらいいよ。
いくらサービスが良くても、穢れたサービスなんて胸糞。
26: 2019/07/13(土) 00:11:57.72
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か | BUSINESS INSIDER JAPAN
※年末に「開発仕様」と「開発業者」が変更
https://www.businessinsider.jp/post-194302
332: 2019/07/13(土) 03:27:25.36
>>26
典型じゃん
34: 2019/07/13(土) 00:14:36.90
何人の担当者のクビが飛ぶの?

つか、日本大丈夫?こんな事ばっかりで

43: 2019/07/13(土) 00:17:02.12
>>34
このケースの責任担当って、受注した会社のSEやPGでなくて、
急な仕様変更を認可した7側の役員クラスね
35: 2019/07/13(土) 00:15:08.26
詫びおにぎり100個よこせよ
41: 2019/07/13(土) 00:16:46.93
金はいくらでもあったのによくこんなクソな仕事できたなあ
誰も止める人がいなかったのか
46: 2019/07/13(土) 00:18:29.14
>>41
セブンは所詮、流通系だからな
セキュリティっつー見えないモノに金払いを渋ったんだろう
他人の時間をタダだと思ってるからな奴ら
コンビニオーナーとの争いみててもそう思う
44: 2019/07/13(土) 00:18:03.85
しれっと書いてあるけど、ハッシュ化した暗号から平文に復元なんてできるの?
67: 2019/07/13(土) 00:22:24.64
>>44
レインボーテーブルでググれ

決済情報取り扱う場合はハッシュにソルトを付加する

103: 2019/07/13(土) 00:32:23.85
>>44
オンラインにある場合は辞書アタックできないけど、ハッシュ化したのが入手できた時点で辞書アタックできるようになる
あと暗号方法の脆弱性が分かってビット数分の堅牢性がないことが後でわかったりとかいうのもある
78: 2019/07/13(土) 00:25:49.27
しかし、ここまで大きな問題が出てないLINEや楽天って
5chにバカにされてたけどすごい技術力があったんじゃ
116: 2019/07/13(土) 00:38:41.47
>>78
派遣にやらせてる割合はすくなそうやな

あと上が知識ある

98: 2019/07/13(土) 00:30:51.56
オープンIDとか信用してなかったから
どのサイトでも固有のIDしか使わなかった
俺には先見の明がある
475: 2019/07/13(土) 07:32:08.53
>>98
セブン側にパスワード持たせる方が怖いと思ったけどこんな穴があるとは
107: 2019/07/13(土) 00:34:41.08
>これとは別に

の後も大笑い
開放的ww

120: 2019/07/13(土) 00:40:10.65
ハッシュ化は普通bcryptとか使うんだろうけど、7ならmd5で完璧なセキュリティだと思ってそう
121: 2019/07/13(土) 00:40:14.55
セブン株さすがに暴落してるんか?
130: 2019/07/13(土) 00:43:54.77
>>121
株価はここ三ヶ月での高値圏
今日も上がってた
135: 2019/07/13(土) 00:45:21.16
ぼくのおにぎりはだいじょうぶかな
141: 2019/07/13(土) 00:48:05.06
最終的に現金が最強。
169: 2019/07/13(土) 00:58:56.59
個人で作ったシステムにも劣るな…
一体いくらで作ったんだよ?
201: 2019/07/13(土) 01:09:52.53
7時から11時の初心に還るべきだろう
204: 2019/07/13(土) 01:11:59.29
>>201
はい契約違反
225: 2019/07/13(土) 01:21:20.23
JRさん、チャンスだぞ。
233: 2019/07/13(土) 01:25:48.46
セブンイレブン♪良い気分♪(犯罪者限定)
306: 2019/07/13(土) 02:28:08.31
開発の終盤になって、リスケなしで要件ベースの仕様変更入れば、
無事に開発できなくて当たり前
340: 2019/07/13(土) 03:35:26.87
仮想通貨もまたやらかしたし電子マネーはメインストリームにはなれんな
362: 2019/07/13(土) 04:08:17.69
過去にセブンネットでクレジットカード情報を15万件もお漏らししたから
今回の件も全く驚かない。

セブン&アイグループのSEやプログラマーは素人集団。

386: 2019/07/13(土) 05:14:48.99
0段階認証
391: 2019/07/13(土) 05:20:15.71
これ、システム開発の時点でチャイナにバレてたよな
プログラミングを外注に出しただろ
430: 2019/07/13(土) 06:15:55.56
社長:誰でも使えるようにしてくれ
業者:はい!
484: 2019/07/13(土) 07:40:06.02
誰でも入れる所に置いてある金庫に鍵がかかってないのかw
493: 2019/07/13(土) 07:46:39.79
被害者の皆さん元気ですかー(^o^)ノ
元気があればおにぎりお食べ

コメント

コメントを投稿