7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も

セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。 モバイル決済サービス「7pay」で不正ログイン被害が相次いでいる問題で、運営元のセブン・ペイがこのほど、7iDのログインパスワードを再設定する手順を変更したことが分かった。第三者がユーザーの生年月日や電話番号、会員ID（メールアドレス）を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。だが、ネット上では「解決していない」という声も上がっている。 第三者がパスワードを再設定可能 7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3

[masahiror]

CSSで隠しただけって…次はINPUT部品除去の対応して、F12開発者ツールで自分で同じIDのINPUT部品追記してPOSTしたら通ったりして/ああ、受け口のサーブレットが部品ありきで実装してるからすぐにはelement除去できないのかもね

[lalala360]

CSSで消してるのが問題というわけでもない。サーバ側で受け付けないように対応しないと駄目。

[Lhankor_Mhy]

『CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった』←さっそくブックマークレットが作られてて( http://let.hatelabo.jp/laiso/let/hLHW97LCgP9J )笑った。

[deep_one]

大手に掲載された。／で、対策が対策になってなかった。／次は「フォームの項目は消したが、フィールドを前と同じ名前で作ってアドレスを送ると処理される（バックエンド側が対策されていない）」だな。

[KoshianX]

記者会見でこれについて説明はしたのか。いやさっき試したけどホントに無関係のメールアドレスにパスワード再設定メール送れちゃったよ。実装した技術者はこんなもの反発したはずで、押し切った担当者がいたんだろな

[otchy210]

現場は反対したが上が押し切った仕様だったのではないか、という風に思ってたけど、css の話を聞くともしや現場もダメだったのでは？感でてきちゃう…。

[doroyamada]

「PDFで全選択すると黒塗りになっていた部分の文字が読める」を思い出す。 / そのelementがないとエラーを返すように作っているんだろうか。

[nejipico]

作るのもバカだが対策もバカ。バカしかいねーのかセブンには。

[netcraft3]

送信先メールアドレスのinputタグがdisplay:none;されてるだけだった。

[hobbiel55]

レビューで画面しか見てなくて、コードレビューなんてしてないんだろうな

[richard_raw]

こういうのを姑息といいま……いや、しのげてないから違うのか。

[campanella]

仮にきれいに消しても、サーバーサイドを修正しないとパラメータ知ってる攻撃者にとっては無意味。POSTされるパラメータが減るとエラーになる可能性があるからCSSで見えなくした。担当が違うんだろう。

[suika3417]

CSSで隠しただけは草

[yatta47]

脆弱性という言い方よりか仕様バグという言い方のほうがしっくりくる。

[maple_magician]

“第三者がユーザーの生年月日や電話番号、会員ID（メールアドレス）を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。”──これはひどい。

[kuzudokuzu]

個人的にどこまで7系列が崩れていくのか見ていきたい。

[kniphofia]

作り直して

[nakayossi]

“CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった”

[cankyan]

ノーン・・・・

[comp123jp]

F12で要素に値っこんでpostしたら動くって認識でOK?バグハントするの楽しそうなオモチャだw

[kae1990]

ばかなのか

[marsrepublic]

頭が悪すぎてクラクラする

[and_hyphen]

“ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった”

[everybodyelse]

いやもうこれ激アツよね。これ自分でも確認した時は、あまりの杜撰さに思わず乾いた笑いが出たわ。笑うしかない、ってこういうことかと実感した。

[gokichan]

びっくりするほど初歩的な問題なんだが

[matsnow]

まずは早くサービスを止めたほうがいいんじゃないかな…。付け焼き刃でどうこうできる状態じゃない。

[LO05]

セブンといい吉本といい法外な上納金を巻き上げる一方でそれに見合う働きはおろか足引っ張ってるからせめて上納金分は働けよ

[foxintheforest]

関係者間で責任のなすりつけ合いめっちゃしてそう

[manFromTomorrow]

石棺かな？

[u_eichi]

見えなくしただけ…。

[uchiten]

サーバサイドの修正はいまベンダーが見積もってるんだよ。影響調査数日、設計数日、実装数日、テスト数日……ってね。

[KAN3]

技術者がこれに気づかないとは思えないし、指摘した上で無視するのもおかしいし、気づいた上で知らねー！俺のせいじゃねーしって感じになってたんじゃないのかな。相当労働環境悪そう

[winger14]

能力がバレた後のメレオロン状態なので。

[filinion]

開店直後のセブンネットショッピングが価格誤表示で大惨事になったのが2009年。クレカ情報15万件の漏洩が2013年。そして7pay脆弱性と、指摘を受けた後の対応がものすごく雑なのも毎回同じ。少しは失敗に学んで欲しい。

[aox]

都度電話で本人かどうか尋ねるようにしましょう

[a_matsumoto]

解決してない

[babandoned]

このレベルは今まで見たことないレベル。どういう品質管理してんの？ベトナムとかで作ったコードを教育も何もされてない新卒プロマネが目視受け入れテストとかしてるのかな。地獄だな

[qinmu]

《「CSSでフォームを非表示にしているだけ」という指摘》

[umaemong]

これ笑ってられないなー。悲しいけど、この程度の知識で専門家名乗ってるアレなベンダーとか沢山みてきた。7pay程のサービスがこの体たらくなのは確かに絶望的。

[ElizaAcolyte]

ばーか！ばーかばーか！ほんとばーか！！！！（あまりの出来事に現実を受け入れられず語彙力を失った人の図） / いやでも、実はサーバサイドで塞いだ後で、フロントだけの暫定修正ということならまぁ。知らんけど。