PayPayさん、決済用のQRコードもガバガバだった「これ詐欺サイト作られるよ」 - Togetter

【アキバの電子機器屋】茂田カツノリ@秋葉原ラジデパ1階 shigezone.com💉💉 @shigezo PayPayの「金額指定お金受け取り」QRって単純すぎて怖い。 ｈｔｔｐｓ://qr.paypay.ne.jp/暗号化されたユーザID?session_id=セッションID&amount=金額 なので簡単に作れた。 ちなみにWeChat Payは wxp://f2f1gLFd0RG（中略）776AI8DQV0 と金額も含め暗号化されててる。普通はこうだよね。 pic.twitter.com/AHD6aNzbaF 2018-12-20 22:21:44 茂田カツノリ/秋葉原ラジオデパート1階の電子機器屋 shigezone.com💉💉💉💉 @shigezo 電子部品・電子機器のお店・秋葉原ラジオデパート1階Shigezone @ShigezoneAkiba 店長 通販もしてる

[Misora]

それで、WeChat Payの暗号化方式で防げてpaypayの方式だと防げない詐欺って何なの？

[t_yamo]

元ツイの「暗号化で安全」の認識の方が怖い。WeChat Payはintentがwxpっていうだけで暗号化じゃなくてトークン文字列じゃないのかな。PayPayはURL形式だけどセッションIDがトークン文字列相当で金額は確認用なだけでは。

[teto2645]

リテラシーない奴が安全じゃない安全だってギャーギャー騒いでる…なんで理解する頭もないのに騒ぎ立てるのだろう、恥を見るのは自分じゃないか。

[teraokaakihiro]

まとめ主が炎上狙いのアカウントだったのでこの件はスルーで

[hakaikosen]

セッションIDがセキュアならサービス側の責任は十分じゃないかな。中間者攻撃を持ち出すとキリがない。暗号化も暗号化前に改竄される可能性あるし、素の金額を表示できるメリットのほうが大きいと思う。

[nnnira-ching]

ペイペイ叩こうとして自分達が普段使ってるものがもっと酷い仕様なのに気づく流れ面白い。 Amazon、ヨドバシ然りPayPal然り。

[nerimarina]

この人この後「PayPayは俺が救った」とか書いてて怖いわ

[kw5]

Base64 っぽい文字列の中身を検証せずに「暗号化」と書いてる時点で元ツイートの人がどれくらい分かってるか怪しかった

[gowithyou]

最近のpaypay叩きは酷いな。デマでもなんでもありだ。キャッシュカードの無断使用だってpaypayから漏洩されたものじゃないのにな。こういう新しいものを叩く文化の醸成は日本の衰退の象徴かもしれん

[fukken]

WeChat PayのQRコードにもいくつかタイプがあるんじゃなかったっけ。PayPayのQRと同じ挙動をするモードも存在しそうな気がする。

[deep_one]

その段階なら暗号化する意味があるのかは謎。書き換える可能性としては「支払う側が金額を安く変えられる」なので「詐欺サイト」は作られないかな。私が加盟店なら文句は言う。／個人間送金用なのか？

[toyoben]

PayPayの支払い手順、この記事の動画で初めて見たんだけど、これ面倒くさくない？レジ端末のディスプレイにQRコードが表示されるのでは無く、印刷されたものを読み取るのだと偽造したシールを貼るってのが出てきそう。

[misarine3]

まとめ方が悪すぎてな

[htbman]

webページで「ソースを表示」画面にしてハッキングしたつもりになってる人みたい

[itochan]

session_id っていうのが、同じ金額の別商品を区別してるのかなあ？　電子署名でないのは無効化できるようにかな

[monster-energy-zx14]

まあこういうsecurityとか後々強化すればいいことで、シェアとればいいんだよ

[peroon]

暗号化されたユーザID作れる？

[zaihamizunogotoshi]

心痛い。何も言えない。

[ooblog]

QRコード決済を必要以上に叩くのURLどころかナンバーだけで取引してるクレカ厨説。深読み邪推するならマイナンバーとクレカを結びつけたいパヨクネトウヨ共同作業の第二次ウヨマゲドン陰謀論。

[ya_ma]

やめてもう必要以上に

[pandafire]

paypayすっかり叩いていい枠になったなー。100億使ってevilイメージってのもつらいものが。やっぱクレカ不正利用事件の時の対応がよくなかった。「うちからは漏れてませんが一応確認して」はちょっとなあ

[ka-ka_xyz]

ニュースサイトに上がってた店頭設置QRコードの中身は ｈttps://qr.paypay.ne.jp/${ほげほげ} だった。決済ではなく個人間送金の場合のみらしい( https://twitter.com/PayPayOfficial/status/1076095382763974657 )

[hagane]

(セキュリティの感情ってどんな感情なんだろうか。)

[daij1n]

定期的に現れる嘘松。ブコメ解説が優秀すぎる。

[marisatokinoko]

そもそも受取側に秘匿情報が必要とは思わないけどセッションidとユーザーid、両方使ってるのは気になる。バグが入るとすれば自分のセッションidと他人のユーザーid組み合わせた場合の送信先表示とか

[oktnzm]

詐欺って単に相手の財を棄損させるだけでもなりたつから、第三者が略取することはできないってのは反論にならないよ。

[augsUK]

ネットでありがちな「面白くない奴が集まってきてデマでターゲットを叩く時期」に入ってるな。ネットイナゴの中でも最下層連中。

[exshouqosa]

まとめ主のユーザーネーム　"エンジョイ炎上"@enjoy_enjo　アイコンが鳥が燃えているアイコン　これは…

[tattyu]

こう言うのでドヤって叩くの、ユーザーからするとデバッグありがとございますって感じもする。

[youichirou]

これだけではなんとも。セッションIDが予測可能だとまずいかも。

[rti7743]

なんでsession_idの引数があるのに、amountを引数に入れたんだ？不思議な実装。session_idはユーザ認証だけにつかって支払いの取引IDではないということなんかね。決済しか機能がないアプリなんだからそこをサボるなと。

[nobujirou]

派手なキャンペーンというのは、問題があった時に両刃の剣になりやすいという教訓があるのかもしれないな。

[jaguarsan]

一晩考えたけど、「formのmethodをpostではなくgetで実装した 」のと同等と感じた。確認画面が表示されるので実質的な攻撃にはつながらなそう

[natu3kan]

ブコメみた感じだと、金額がそのまま見えてても現状だと、それで攻撃できたりする可能性は低い感じか。paypalとかめっちゃシンプルなのな。

[Windfola]

この「脆弱性」どういう風に利用するのか自分の貧弱な頭では想像つかなくて、答え合わせしようとブコメ見た時の安心感。

[amemiyashiro]

バーコードを表示してから決済完了するまでの間にセッションハイジャックを実行可能な脆弱性があるならまだしも

[hard_core]

だってヤフーとソフトバンクの人が孫さん言われて突貫で作ったシステムと組織。とりあえず動くことととりあえずアカウントを作らせるという所がポイントだったんだろうよ。

[nnock]

自分よりも頭の良い人たちが考え、レビューしあい、品質を保証した結果、世に出回っているものだから、ちょっと使ってみてぽっと出た懸念点は大抵問題無いんだと思う。 疑ってかかってみる視点は大事だけど。