【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか | Business Insider Japan

7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

[poontan]

設計図共有サイト再び

[delphinus35]

ひええ。大人しくGitHub Enterprise使えばいいのに。金をケチるからこうなる。

[mkusunok]

素性の確認で協力。プッシュ通知の電子証明書やリソースファイルに直書きされたAPIシークレットで早々に本物と推定したがスマホアプリ開発中の保秘は頭の痛い課題。悪用されてなければ良いが

[akulog]

これってGitHubに怒られるのでは？ "リソースファイルに直接、“外部IDログインに必要なシークレット”などが直書きされている。"

[flowerload]

そういやみんなもうすっかり7payのこと忘れたね。よかったね、セブンのお偉いのみなさん。

[niseki]

あらら　GitHubアクセス規制とか意味わからん対応しそう

[emt0]

自宅での持ち帰り作業用にPushしたんじゃないの？

[KoshianX]

うーん……。リンク先見るとどうも海外にアウトソースしてたっぽい雰囲気もありそうでいろいろとアレだな……。

[sho]

愉快な職場だなぁ(愉快じゃない)。とはいえソースコード公開にセキュリティリスクがあるとか言うとOSSの立場がないのでやめてくれませんかね。

[ga_kun]

上層部「仕様変更決議したけど納期はそのままね。残業時間は守ってね。外部記憶装置に保存して家に持ち帰るのもダメ」 開発部「ぐぬぬ…せや！GitHubにアップロードして家でやろ！」

[maido3]

“このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。”　今回のSMBCのコード公開だけの問題じゃないよね。以前からあったんだろう。#SMBCソースコード流出

[umiusi45]

そりゃ「実質4日」で閉鎖だわ。うっかりさんがギフハブに置き忘れたのか、愉快犯のいたずらか知ら無いけど、管理が出来て無かったのは良くわかる

[pmint]

"ソースコードが漏洩"…「Pixiv ID漏洩」みたいな。GitHubを「ギフハブ」という闇サイトだと思っていそうだ。"外部IDログインに必要なシークレットなどが直書き"…で誰が困るのか。むしろ誰も読まなかったのが問題で。

[light940]

GitHubに問題があるみたいな変なミスリードがなければよいけど。どんな便利なツールでも使い方間違えると大変な事になる

[blunote]

やっぱ見積もりレベルから細かくどうするか、相談しながら進めていくしかないんじゃないかな〜。github代いくらとか・・・、車の中で上司に聞かれて、「エンジニア視点ですけど」って前置きして、答えたことあるな。

[SPIRIT_PHOENIX]

きっと、不特定多数の方々にコードレビューをして欲しかったんだよ! (すっとぼけ)

[prograti]

プロジェクトはsvnで管理されてるけど委託された開発者はレポジトリにアクセスさせてもらえなくて、ソースを手元にもらって開発するということはよくありますね。開発者が自分用にGitHubにあげたのかも。

[estragon]

普通はソースコード漏洩は知財管理上は問題になるかもしれないがセキュリティ・インシデントではないと思うが、APIキーやシークレットが平文でハードコーディングされてたんだとするとセキュリティ上も問題か

[chikisio]

えっぐ。。

[habarhaba]

NTT DATA MSEの関連会社に中国のNTT DATA 通信軟件工程があるからそこからなのか？

[wideangle]

おもしろくなってきたな。

[beginnerchang]

心配するな！こういう事態も想定済みさ！何のために多額の賠償金を支払う能力のある会社に発注してると思ってるんだい？

[kkobayashi]

どゆこと？

[regularexception]

セブンイレブンも不安よな。　NTTDataも動きます

[Hamachiya2]

そういえばぼくも以前、未だリリースされてないアプリの通信先APIサーバ名(アプリ名.会社名/みたいなやつ)をググったらGitHub上のソースコードがヒットしたことあるよ

[yhoge]

内容のインパクトは置いといたとして、明日は我が身である

[adliblogger]

他のソースパクって作ってそう

[hate_flag]

つか、高いカネ払ってるならそれなりのクオリティは期待するもんなんじゃないのセブンイレブンは？なんで下請け孫請けひ孫請けに投げられて平気なの？

[hatebutabooboo]

気持ち悪いエンジニアのブコメが多すぎる、、、

[houyhnhm]

ファイルの上げ下げにgit使ってると思われるのだが、故に全部入りなのだろう。開発をここでしているわけではなさげ。USBメモリを禁じられた先にあるやつで、著名なライブラリもアプリもあるので閉じられない。

[solidstatesociety]

要はアカウント作ってプライベートレポジトリで運用する発想さえない発注をしていたってことだよね。おそらくは関係者で全員でみたいみたいなノリで。

[cider_kondo]

むかーし、Hagexさん(だったと思う)がGoogleドライブで公開設定になってしまってる企業の社内文書を晒していたのを思い出した。ギフハブ(違)でも同じようなことをしている人っているんだろうか？

[sesleria]

“設計図にあたるソースコード”デジャヴ

[Mash]

.svn

[GEROMAX]

結果を見れば過程も散々だったことは想像に難くない。7に近寄るべからずだね。

[kearai]

githubは不安よな。 接続、禁止します。(情シス部門より)

[Derabon]

これが日本の大手企業か……

[aosiro]

ギフハブ

[maninthemiddle]

github使うこと自体はいいと思うけど、Private化してなかったのが問題

[asuka0801]

"特にiOSの場合Macで開発することが一般的で、開発会社のMac向けデータ漏洩対策は、Windowsと比べて出遅れているケースがある" それは偏見じゃねーの