So-net無料ブログ作成

ここまで来ると始めから不正できるシステムを設計していたとしか [日記・雑感]

国内超大手企業が満を持して投入して、瞬く間に不正アクセスされた7payですが、簡単に他人がパスワードを変更できるバカ仕様以外にも問題があったようです。

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。


「外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませる」らしく、ひどい以外の言葉が見つからない。

なりすまし防止のために定められた手順を実装していなかったらしく、とてもお金が絡むアプリケーションを作っていると思えないザルさです。

これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。


これなどパスワードも含めた全ての顧客情報を簡単にぶっこ抜ける作りとの事で、とてもじゃありませんが始めから不正アクセス可能な設計にしていたのでは?と勘ぐりたくなる内容。

「犯罪集団と協力してシステムを作り上げました」と言われても納得できるちゃいそうですよ。

はっきり言って、これを作った会社の幹部社員は共犯者と呼んで差し支えが無いレベルじゃないですかね。




コメント(2)