弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

【九頭竜≒SPECTRE】7payの外部IDつか脆弱性だらけの7iDのActiveXObject("Microsoft.XMLHTTP") の残骸は財務省むけのセブン銀行の裏口か?またマネロンかw update17

なんじゃこれわー、明らかに意図的な脆弱性じゃないかぁぁ。

[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明 浅川 直輝=日経 xTECH/日経コンピュータ 日経 xTECH
 セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。
 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。
 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。
 「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。
 これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。
 認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。
 今回の7pay不正利用の手口は「パスワードリスト攻撃」や「パスワードリセットの悪用」など複数の可能性が指摘されている。前述の脆弱性と不正利用との関連は明らかになっていない。
【認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。】w

「API経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元」w
なんだそれBASE64かよw、セブン・イレブンこわいわーw

セブンペイ不正利用事件で中国籍の女逮捕 2019/7/12 11:29 (JST)7/12 11:33 (JST)updated ©一般社団法人共同通信社
 スマートフォン決済サービス「7pay」の不正利用事件で、警視庁は12日、東京都千代田区の店舗で電子たばこなど計約3万2千円分の商品を盗んだとして、窃盗容疑で中国籍の女(21)を逮捕した。セブンペイ事件での逮捕者は3人目。
「電子たばこ」て日本たばこ産業(JTI)をヒントしてる?w

中国でCIA情報源20人の回りくどい殺害がはじまり最後にヒラリーが脳震盪を起こし国務長官を退任する。放射能を一服盛られて被曝したのか。日本たばこ産業(JT)の土人がJFKと同じ暗殺を試みてる

APT10部隊だわw。おい、アソー副首相。カウンターパートの劉鶴(Liu He)に何か知りませんかって電話してみろw。やっぱ天津のサイバー捜査ですか?って聞いてみろw。

華春瑩だわw。伊藤忠商事社員が2018年2月末から1年間も国家安全省にスパイ容疑で拘束されていた件…w

伊藤忠商事社員が2018年2月末から1年間も国家安全省にスパイ容疑で拘束されていた(過去形)w

シャンシャンのドジでバカで素人なスパイたち全員を逮捕して華春瑩がありえないほどの満面の笑顔をみせるw

SPECTRE
英国駐米大使「トランプはダメ(inept)だw。」流出した大使からの秘密電文には「大統領は独特な機能不全(uniquely dysfunctional)で、彼のキャリアは不名誉な終わりを迎えるかもしれない」w

セブン・ペイに報告命令 金融庁、内部管理など精査 経済 2019/7/12 10:37
チャージの一時停止を知らせるセブンペイの画面 画像の拡大
金融庁がセブン―イレブン・ジャパングループでスマートフォン決済サービスを手掛けるセブン・ペイ(東京・千代田)に対して資金決済法に基づく報告徴求命令を出したことが12日、分かった。不正利用の原因や再発防止への取り組みなどの報告を求め、内部管理体制に問題がなかったか詳しく調べる。金融庁は実態把握を進めた上で改善策を求める見通しだ。
セブン・ペイは7月1日から決済サービスを始めたが、一部の利用者で身に覚えのない支払いが起きるなど第三者による不正アクセスが発覚した。3日からクレジットカードでの入金を停止し、4日からは店舗やATMでの現金による入金を中止した。本人確認のための「2段階認証」を導入していないなどセキュリティーの甘さも指摘されている。
報告徴求命令は金融機関に対して、問題の経緯や事実関係の報告を求めるもの。セブン・ペイは前払い式支払い手段の発行業者で資金決済法上の登録業者にあたる。

セブンペイ、外部IDを遮断 不正利用の影響拡大、対策後手
2019/7/11 20:56 (JST)7/11 22:38 (JST)updated ©一般社団法人共同通信社
1日、「7pay」をPRするセブン―イレブン・ジャパンの永松文彦社長=東京都千代田区
 セブン&アイ・ホールディングスは11日、不正利用があったスマートフォン決済サービス「7pay(セブンペイ)」について、LINE(ライン)などの外部IDではサービスを利用できないようにした。利用者が残金を使うにはセブン&アイのグループ共通ID「7iD」を改めて取得する必要がある。
 不正利用の発覚後、新規の利用登録やチャージの停止に続く措置となる。セブン&アイはサービスを全面停止せず、さみだれ式に対策を講じており、利用者に混乱を招く恐れがある。現場となる店舗ではオーナーの不信が募り、セブン側の謝罪会見から1週間を経ても影響が拡大している。

7pay LINE、FBなど外部ID遮断 安全上の問題、指摘受け 会員限定有料記事 毎日新聞2019年7月11日 21時09分(最終更新 7月11日 22時06分)
被害が広がったセブン-イレブンで使えるスマホのサービス「セブンペイ」の画面
 セブン&アイ・ホールディングス(HD)は11日、スマートフォン決済サービス「7pay(セブンペイ)」の不正利用問題への対応策として、同日午後5時からLINEなど「外部ID」の使用を一時停止したと発表した。外部IDでセブンペイにログインする際に安全上の問題が生じる可能性を外部専門家から指摘されたため。不正利用との直接的な関係については「調査中」としている。
 セブンペイは、セブン―イレブンで使える「セブン―イレブンアプリ」に搭載された決済サービス。セブン&…

セブンペイ、外部IDの接続中止 個人情報漏れ防止策で 有料記事 神沢和敬、栗林史子 2019年7月11日21時58分
写真・図版
セブンペイも使えた「セブン―イレブンアプリ」では、LINEなど他のネットサービスのIDでログインできるようになっていた=同アプリのスマートフォン画面から
 セブン―イレブンのスマートフォン決済「7pay(セブンペイ)」の不正アクセス問題を巡り、セブン&アイ・ホールディングス(HD)は11日、フェイスブックやLINEなど他のITサービスのID(アカウント)からのログインを中止した。個人情報が漏洩(ろうえい)する可能性が新たにわかったためだ。セブンペイは不正が拡大した4日に新規登録とチャージ(入金)を全面停止している。サービスの再開は「少なくとも今月中は厳しい」(広報)という。
 中止するのは、「ID連携」と…


他のサイトIDでログイン登録を可能にするのが外部IDで Facebook、Twitter、Google、Y!、LINEが使えるw

げ。トランプにバレたぞw。急いでマネロンの証拠を消せw。

フェイスブックの広告用途の組み込みアプリは生データベースにアクセスできるわけだから、 個人情報じゃなく、こんどは財布に手をだすよーになるでしょーなw。まぁこれは当たり前だのクラッカーw

カネを払えばアプリにデータベースの生の個人情報にアクセスさせてやるという回りくどい商売w

あーぁ。これって既にマネロンが完了してるっぽいなぁw。
1日のチャージ最大30万円w

え、OAuthに1日30万円のリスクをぶら下げたのかぁ…チャレンジャーだなぁ。

7payじゃなくて7iDをOAuth連携しちゃったのかぁ。

7iDのセブン銀行とかふつうにヤバくね?w


new a.ActiveXObject("Microsoft.XMLHTTP") …w

microsoft.com→Microsoft XML コア サービスの脆弱性により、情報漏えいが起こる (2916036)

マイクロソフト セキュリティ情報 MS14-005 - 重要
Microsoft XML コア サービスの脆弱性により、情報漏えいが起こる (2916036) 公開日:2014 年 2 月 12 日 | 最終更新日:2014 年 2 月 28 日
バージョン: 1.1
概説
概要
このセキュリティ更新プログラムは、Microsoft Windows に搭載され、一般に公開された Microsoft XML コア サービスに存在する 1 件の脆弱性を解決します。この脆弱性で、ユーザーが Internet Explorer を使用して、特別に細工された Web ページを表示した際に情報漏えいが起こる可能性があります。攻撃者は、特別に細工されたコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトにユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
このセキュリティ更新プログラムは、影響を受ける Windows クライアントについて深刻度「重要」、影響を受ける Windows サーバーについて深刻度「注意」と評価されています。詳細情報については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、MSXML が URL の同一生成ポリシーを確認する方法を修正することにより、この脆弱性を解決します。この脆弱性の詳細については、このセキュリティ情報の後半にある「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。
セブン銀行を含むグループ全体で使える7iDの実装にActiveXObject("Microsoft.XMLHTTP")…
何が脆弱なのかもわかってないのか?いやいや古い実装を放置しなければならない理由は何か?

あー、この7iDのIEの残骸みたいな ActiveXObject("Microsoft.XMLHTTP") は eTax用途で外せないのか?w

公務員向けの裏口?w

どうやら国税庁はマイナンバーなど納税者情報171万件を禿とワトソンに渡してアリバイを作ったみたいだw


わかった。OAuthは金塊の代わりなんだろw )アソーw

これって自動車税でマネロンするのと同じやり方w

突然、店を閉められるとだな、閉店なのに弁当が売れてることになってマネロンがバレてしまう。 なので本部としては24時間営業して貰いたいw

グループ全体でまとめてマネロンしてるので、開店時間と整合性の取れた売り上げデータをねつ造するのは無理だかーらw

セブン本部を店舗オーナー提訴へ 明細開示に数十万円は不当
2019/7/31 19:55 (JST)7/31 22:17 (JST)updated ©一般社団法人共同通信社
セブン本部が示した見積書。仕入れ先6社の2カ月分の支払い明細の開示に作業費として21万1200円を請求している(画像の一部を加工しています)
 酒やたばこなどの仕入れ業者への支払い明細について、決済代行するセブン―イレブン・ジャパン本部に提供を求めたところ作業費として数十万円を請求されたとして、セブン店舗のオーナーが無償での明細開示を求め、8月1日にも東京地裁に提訴する方針であることが31日、分かった。
 加盟店では到底支払えない法外な請求を行うことでセブン側が実質的に開示を免れているのは不当だとオーナー側は主張している。
 セブン本部は、各店舗に「弁当」など大枠で支払い内容を伝えているとした上で「それ以上の明細が必要な場合は、外部に委託し公平性のあるデータ提供が必要」と説明している。
マネロン確定かw

リスクなく節約?w

$ perl amagrep.pl セブン銀行 *.txt
amagrep keyword セブン銀行 ...

                                                                                                                                 ATMプラット
                        大阪高等検察庁検
41   伊丹    俊彦     63               -          -           -         -          -               H28.9.1    H30.6.19   株式会社セブン銀行   フォーム事業、決   取締役     無   無
                        事長
                                                                                                                                 済口座事業等
houkoku_h300921_siryou.txt ---
大阪高等検察庁検事長→株式会社セブン銀行「ATMプラットフォーム事業、決済口座事業等」かぁ。

ふつうに九頭竜かぁ。ビンゴだわw。

投稿されたコメント:

コメント
コメントは無効になっています。