So-net無料ブログ作成

ここまで来ると始めから不正できるシステムを設計していたとしか [日記・雑感]

国内超大手企業が満を持して投入して、瞬く間に不正アクセスされた7payですが、簡単に他人がパスワードを変更できるバカ仕様以外にも問題があったようです。

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。


「外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませる」らしく、ひどい以外の言葉が見つからない。

なりすまし防止のために定められた手順を実装していなかったらしく、とてもお金が絡むアプリケーションを作っていると思えないザルさです。

これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。


これなどパスワードも含めた全ての顧客情報を簡単にぶっこ抜ける作りとの事で、とてもじゃありませんが始めから不正アクセス可能な設計にしていたのでは?と勘ぐりたくなる内容。

「犯罪集団と協力してシステムを作り上げました」と言われても納得できるちゃいそうですよ。

はっきり言って、これを作った会社の幹部社員は共犯者と呼んで差し支えが無いレベルじゃないですかね。




コメント(2) 

コメント 2

フーテンどんぐり

個人的には内部に亡国の密通者がいたんじゃないかな~と妄想しています。

どうせ7幹部連中にはシステムのどうこうなんてわからないから開発に丸投げだろうし、開発者の中の上のほうに密通者がいない限りこんな初歩的な、かつずさんなセキュリティに対してOKを出さないと思うけどな~。

まあ、ここのところというか、昔から7はネット構築関係に弱いのは感じていたので「やっぱりな」と言うのが私の感想ではあります。
by フーテンどんぐり (2019-07-15 09:35) 

sino

フーテンどんぐりさん
コメントありがとうございます。
セブンは確か以前にもネット通販で価格の付け間違いとかでやらかした事があったかと思います。
普通は一度やらかすとリテラシーが上がるものですけど、セブンはむしろ下がった感じですね。
やらかしの学習すら出来ない人たちが出世できる社風なのでしょう。
by sino (2019-07-15 16:35) 

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。