7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱

「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。 被害にあっためるかば氏の報告ツイート。一連のツイートで被害状況を詳しくリポートしている めるかば氏の被害経緯 ・7月１日：7payサービス開始にともない登録。5,000円チャージし、1度決済 ・7月3日朝：7

[honma200]

これがマジならまだ危ういよねぇ。新規入会とか止めてもログインして残高まるっと支払いに使われる可能性がまだ残っているわけだ。てか、パスワード、生で保存してたことになるぞ？

[flowerload]

「2段階認証…？」の人は実はめちゃめちゃハイレベルな役者で、「パスワードの平文保存」という真の問題から世間の目を逸らそうとしてたとか。

[doroyamada]

パスワード16ケタで使いまわしなしを実行しているって、さすが決済業界の人。

[Windfola]

それで被害者が1000人以下というのが解せないくらいなんだけど、店頭購入が必要だから出し子の人数がボトルネックだったとかそういうのだろうか。

[witch-doktor]

事実ならパスワードを平文保存していたリストが漏洩した可能性が高く、非常に危険 / こういう事例があるからいつまで経っても「パスワード定期変更」という間抜けな対策を取り続けないといけなくなるのでは

[NOV1975]

「状況から見てセブンイレブンから情報漏えいを疑うべきでしょう。」これ本当だったら必ずしも7Payの問題とは言えないぞ。流石にこれだとECやめなよってレベルだし、SIerもやめなよってレベルだからな。

[kura-2]

いつの間にかセキュリティホールディングスになってたの？

[wkoichi]

7/1に設定した使い回しなし16桁のパスワードを犯人が使用しているので、パスワードが漏洩している可能性が高いのではという指摘

[kat21]

パスワードリセットではないやつ、との指摘。これはヤバいぞー

[karkwind]

このツイート見たとき、俺もそう思った

[s-tomo]

パスワードリセットの件と二段階認証の件は開発体制に問題があることを示唆するものであって、不正利用でそこを突かれた訳ではない。混同してる人多いけど。

[inazuma2073]

7/1の時点でまるっとお見通しになってたんじゃないかなと思う。７Payのチャージパスワード登録までいけた人がそんなに多いとは思えない。

[n-styles]

ヤバヤバのヤバじゃん

[diptypop]

使い回しなし＝完全ランダム？

[sawarabi0130]

無謀な開発スケジュールだったようだし、下請けから開発の一部がオフショアで中国とかに流れて、そこから脆弱性に関する情報が漏れてた可能性も高いな。

[aknyonaka]

ヤバい

[yujilabo]

パスワードリセットが、実は本当にリセットになっておらず、リセット前のパスワードでも送信された文字列でもログインできる仕様になっていたとかどうだろう

[ebibibi]

ここに書かれていることが全て正しいなら、パスワードが平文保存の上ぶっこぬかれてる、通信が暗号化されてなくてパスワード丸々抜き取られてる、中間者攻撃されてる、内部犯、とかそのレベルの話としか……

[mrpotas]

Suica派のワシ高笑い

[k146]

パスワードリセットを行なっていない上、使い回し無しの16桁パスワードが2種類も割れていた=漏洩しか考えられないと言う話。平文保存されていて、且つ特殊な操作で簡単に奪取出来た可能性…？

[hevohevo]

生パスワードをシステム側で保存していて、そのパスワードが外部に漏れていそう。いや、さすがにそんな愚かなことは・・・まさか。

[ocaesar]

まさかの展開。 平文でパスワード保管してた疑惑💦

[fock]

7pay方面からさらに不穏な材料が投下された…これはさすがに嘘だと言ってくれ

[ka-ka_xyz]

認証後のWebAPIのレスポンスにハッシュ(&ソルト)化されたパスワードらしき文字列が出てるという話があるけど( https://twitter.com/bulkneets/status/1147462228485914625 )逆に言うと平文保存では無いっぽいのだよな。

[arvante]

犯人が容易にパスワードをリセットできる仕様が問題となった7payだが、それとは別にパスワードが漏洩していたという疑惑が。

[blueboy]

　セブンイレブン に、激おこブンブン丸。

[lovevoiceryu]

金融庁が立ち入り検査すべきなんだよ。行政、何やってんの！って感じ。

[fai_fx]

サーバ自体が乗っ取られて、ID/PASSが自動でダダ漏れしてるんじゃない？被害に遭わなかった人もみんなID/PASS抜かれてる

[ymmtdisk]

パスワード平文保存も有り得る？

[blunote]

てかこれ用のって何かフレームワークとかないの？全部スクラッチだったら逆にすげーと思うけど。

[ysync]

なんかいろいろ話が違って来てるな。これじゃ政治的理由によるオムニ殺しの自作自演陰謀論とかまで出てくるな。

[mozukuyummy]

生パスワード保存は法律で禁止すべき。

[Lhankor_Mhy]

これはタイトル詐欺じゃないの？/ とはいえ、そうか、パスワードリセットされてなかったのか。じゃあ、その疑いは強いな……　というか、パスワードを使いまわしてた人の2次被害まであるな。やば。

[yahsusu]

リセットされたという声も聞こえてこないし、捕まった実行犯のIDとパスワードの連絡待ちという手口も悠長すぎるし、セブンもマッチングすれば確定できる事故原因を不明と発表するし、やっぱり他の経路があるよね。

[rch850]

パスワードリセット以外にも何かあった可能性

[cyber_bob]

手際が良すぎだし派手にやり過ぎてるので、内部犯行説を推しとく。店舗で目立つし履歴残り録画されてて顔バレもするので、実際はモノすら買われてないのでは。たばこを欲するにあまりにハードルが高すぎないか。

[degage122]

第三者の手によってパスワードが書き換えできる仕様など、むしろどうしてそんなことが起こせるのか。玄関カギを、外から業者さんに依頼して付け替えできるような、内田裕也さんのやり口と違うのかな？

[yazuka08]

まだ爆弾が隠れてそう。

[n_y_a_n_t_a]

地獄か