2019年7月3日のtwitterセキュリティクラスタ

7payで不正利用がたくさん発生しています

7payで不正利用が発生。6万円以上の不正チャージと(ログオンできないから確認できないけど)不正利用。#7pay #不正利用 #サイバー犯罪 pic.twitter.com/p90XcSK1Jn

とりあえず7Payの不正アクセス問題について、7Payに「回答はSNSで公開します」と書いてメールした。
○3万円のカードチャージ2回(使用できないカードでチャージできず)
○ログインできず(パスワード変更で対応)

とりあえず7Payを使ってる人はカード情報削除した方が身のためだと twitter.com/s_shutterbox/s…

#7pay不正チャージ
について、現時点では運営側からの注意喚起などは出ていない模様です。

Twitter情報では多数の被害者が発生しているようです。
クレジット登録削除が可能のようですので、クレジット登録済みで心配な方はご検討ください。

#7pay #セブンペイ #不正 #nanaco #注意喚起 pic.twitter.com/AnMJZ3NfYq

んーこれ、7idにうっかり使い回しのメアドとパスワード利用した状態で更に7payにクレカ登録しちゃうとヤバイのか…今までの7アプリは不正ログインする意味あまりなかったですが…
RT

7payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。

クレジットカードカード会社からの確認依頼で見に覚えの無い複数回の高額チャージと100キロ以上離れた東京都内で決済が実行されているのを確認し、不正利用被害申告と対応措置を取りました。

問題発生箇所は調査中との事ですが、落ち着くまではカード・金融機関情報の一旦削除をお勧めします。

【続報】7pay アカウント乗っ取り被害に会いました。
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、

この言い切り方は受け入れ難く、私自身の本アプリ利用上のセキュリティ管理には落ち度は無い旨伝え対応を求めた所、「どうしてもと言う事で有れば、警察への被害届け番号を改めてお知らせください」との事。

「補償しません」「はい分かりました」と言える人はどれ程居るだろうか?

7payで不正利用発生!

クレジットで計18万円チャージされ
内、9万円がセブンイレブンJR錦糸町駅前店で使われる!

クレジット会社への連絡→済。担当者からの折り返し待ち
7payのパスワード変更→済。
クレジットカードの紐付け解除→済。
7pay運営への電話→つながらず。メール送信済み。

7pay不正利用問題。私も同様の事態が発生して急ぎパスワードを変更しましたが、クレジットカードで多額のチャージがなされてしまいました。問合せをしたところ、担当者は「不正利用の記録はありません。カード会社の問題では」という当事者意識のなさ。7pay、危なすぎます。現在、再度の調査を依頼中。 twitter.com/frogeye9999/st…

@daisukef @mikamiyoh 7payはクレカの連携は解除出来るのか? paypayはクレカと預金通帳の連携が外れなかった(手順に従っても)クレカも通帳も破棄した。不正も嫌だが解除出来るのかが気になるので手を出す気になれない。。。担当者も無責任ですね、自分のpayだろう!

@daisukef こんな常識ハズレで電子マネーの発展を阻害されるのが嫌なんですよねー
本来は電子マネーってマネロンしやすいので、
・上限設定を行う
・別端末での初チャージ時セキュリティコードの認証する
・アプリ入直し時に2段階認証する
等を工夫するんです
nanaco教訓生きてない..orz

@daisukef 不正利用された方は使いまわしているID/PWが世界中で出回っている可能性が高いということなので。
他でID/PWを使いまわしているECサイト等でも同じように不正アクセスされている可能性が高いです
お気をつけください

@daisukef 不正利用って、カード登録しただけでやられたのですか?

@CTSmith1986 はい。可能性としては、セブンイレブンアプリのパスワードがもともと他のサービスと共通のものでしたので、他のサービスで流出し、使われたのではないかと思っています。他の端末からログインされても通知がないのは驚きでした。

7pay不正利用問題。私の場合には75,000円カードからチャージされたところで止められたので、7payがチャージ金額をカードに戻してくれれば被害はゼロなのですが、7pay側が警察に被害届を出さないとカードに戻さないと言っています。しかも7payは止められ、チャージ金額を私も使えません。(泣)

#7pay で紐付けしているクレジットカードが不正チャージされた‼️
カード会社へ問い合わせしたところ、7月3日 3時42分から43分にかけ3万円を3回チャージされている。

カード使用を即停止❗️
再発行することに。
長く使用した思い出の番号が

7Pay不正利用、被害を訴える人に7Payからの正規のチャージ完了/失敗メール来てるのが気になる。

退会するにはポイントもクーポンも破棄とか乗っ取られてクレジットカード不正利用されたとか、
これはマジでセブンイレブン傾くよな
#セブンペイ
#7pay

#7PAY #セブンイレブン #セブンペイ #7ペイ ワイのメールアドレス(単純すぎた)で勝手に不正に会員登録されました、クレジットカード情報は無いので今のところメールアドレス以外の金銭的被害等はありません
他の被害者と時間帯も一致
オニギリゲット用と思われます死ねばいいのに pic.twitter.com/mSNwHi3zNc

7payの不正使用、続報。
いましがた、カード会社のセキュリティ部門から連絡をもらいました。
不正利用ということで、わたしの金銭的被害はなし。
ただし、現行のクレジットカードは破棄し、新番号で再発行となりました。
ひとまず決着を見ましたので、これから警察に届け出ようかと思います。

7pay登録クレカの不正利用問題、端末のアプリ移行に穴がないかテスト中。PayPayの時のようなクレカ登録自体には穴はないように思う(チャージ専用の認証パス+クレカの3Dセキュアがマストなので)

7pay不正利用の調査テスト途中経過。別スマホに7iDのメール+パスワードを入れたところ、元端末は自動ログアウト。新端末にすべて取られる形。電話番号認証などはない。今の所濃厚なのは「7iDに他でも使っていたメール+パスワードを使ってしまった人がリスト攻撃被害にあった」ことか(まだ推測段階) twitter.com/mikamiyoh/stat…

7payの不正利用報告が増えてるけど、アカウントを乗っ取られたのだろうか。チャージには「認証パスワード」が必要だけど、小文字と数字だけで総当たりに弱そうではある pic.twitter.com/fi3ItanGDa

セブンIDのパスワードとチャージ用の認証パスワード、同じものにできるのか。もしそうなら全く意味がない。。。

アプリにはIDとパスワードだけでログインできるので、それが流出してると登録したカードの限界までチャージされる。

実際にやってみると、2つのパスワードは微妙に要件が違うけど「8文字以上の小文字と数字」なら使い回せてしまう。

しかも認証パスワードの2回目の入力はコピペ不可のため、パスワード管理アプリでランダム生成した強いパスワードは使いにくい仕様。 pic.twitter.com/r4cBfrYMGX

@tezawaly 正直7Payは見切り発車感が強い気がするのです。本当に内部レビューできているのか不安になるレベル。PayPayなんかにも言えましたが

7Pay、nanacoにあった「クレカ紐付け後24Hチャージ不可」「クレカチャージは1日3回まで」「センター預り50k以上のクレカチャージ不可」といった安全装置をご丁寧にも外した結果こうなってるからな

改めまして
お恥ずかしい限りですが、セブン-イレブンアプリの乗っ取りにあいまして、7payの不正チャージにより30万円利用されました

あまりに対応がひどいので、順番に対応状況を記載していきます

ハッシュタグはシンプルに
#7pay

セブン-イレブンアプリのログインは
7 IDにて利用
ログインパスワード、認証に利用するパスワードは別のものを利用していました

#7pay

#7pay

クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました

なお桁数は16桁、使いまわしはしていません

#7pay

クレジットカードでの見に覚えがないチャージはきょうの12時過ぎから断続的に10回、計30万円行われましたが、通知はクレジットカードチャージのレシートメールのみ、そもそもアプリにログインされたことなどはわかりませんでした

#7pay

メールに気づいたのは30分後、すぐに7セブン-イレブンアプリにログインしようとしましたが乗っ取られているのでログインに手間取りました
その後、お困りのときはから検索すると、コールセンターの問い合わせ先が出てきました

しかし2時間以上つながりません

#7pay

電話がつながらないならまだしも、コールセンターにそもそもつながらないので、携帯からだと強制断されます
プルルとも言いません

#7pay

ここでアプリから何かできればよかったのですが、チャージが大量にされていたことが原因なのか、私と犯人とログイン合戦になっていたのか、アプリの操作がうまくいかず、コールセンターへの電話と並行して続けていたため、初動に時間がかかりました

#7pay

そうこうしているうちに、ならばカードを止めようという判断をし、クレジットカード会社へ電話。この時点では売上明細があがってないのでカード会社ではわからないとのことでしたが、利用可能額がWEBから見て減っていたので、再発行を依頼しました。
なお、カードはセゾンカードです。

#7pay

相変わらず7payコールセンターはつながりません、もう5時間ですが、プルっという音すらしません。

問い合わせメールをしましたが、「不正利用の可能性があるので電話ください」とのこと。電話がつながらないから言ってるんですけどね。

#7pay

その後冷静にアプリからもカード情報を削除し、パスワード変更し、いったん止まりましたが、被害額は30万円です。3万×10回。セブン-イレブンでは、8万〜9万づつ使われています。店名も時間もわかります。防犯カメラでわかる気がします。

#7pay

ちなみにセゾンカードは丁寧に対応してくれて、まず番号を変えましょうと言ってくれ、まだ明細(売上)が来てないから次の請求のこともあるので何日までにご相談ください、まで言ってくれました

不正と思われる方、紐付けしたカード会社に「不正ログインで使われた」と一報しましょう

@methuselah3 16桁でブルートフォース攻撃はあまり考えられません。どっかで平文パスワードが漏れてそうです(および/またはクレジットカード情報も)。
3Dセキュアも仕組み上は強固なのですが、登録後は無関係になってしまいますからね。

とうとうセブン側も注意喚起

「7pay」で不正利用の報告相次ぐ、セブン側は注意喚起 japanese.engadget.com/2019/07/03/7pa…

【追記】セブンは「7pay」のクレカチャージ機能の提供を中止しました。相次ぐ不正利用の報告を考慮した可能性もありそうです
japanese.engadget.com/2019/07/03/7pa… pic.twitter.com/eAcPuxFIWb

パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。

と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT

7Pay乗っ取り問題の原因(の推測)
・7IDのパスワード再発行ページは登録メールアドレス・誕生日の欄以外に送付先メールアドレスの欄があり、誕生日と登録メールアドレスがわかれば他人のメアドでパスワード再発行ができてしまう。
・最悪、登録メールアドレス分かれば誕生日総当たりで抜けた?

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K

意識低い系SEなので、7payのパスワードリセット仕様が仕様書に記載されてきたらおかしいと思いつつ実装しちゃうなぁ。
そのために偉い人が高い賃金で上流工程だけやってるんでしょ?

7payの話は、以下の感じ?

a. 他のサービスと同じパスワードでログインされた。記号不可のパスワードで総当りにも弱い
b. 別端末でログインされても通知はないので気づけない
c. クレカ連携解除ができず、7payからクレカを使える
d. 7payでのクレカ上限が高いようだ(合計被害額が10万超える人も)

e. アカウントとクレカのパスワードを違うものにしていた&16桁 だけど突破された(!)

何が起こってるのか、さっぱり分からん。

パスワード使い回しだけではないようだ。続報待ち。

f. 7iDのパスワード再発行、誕生日とID(メールアドレス)があれば、任意のメールアドレスに再発行メールを出せる、ようだ。。

誕生日とメールアドレスのリスト取得、簡単じゃないかしら。恐ろしい…

PayPayはお金を扱っているサービスである点を除けば及第点のセキュリティーだったとおもうんだけど、7payは単なるWebサービスとしても及第点与えられねえやべえ、っていう結論になるな

どういうセキュリティ監査をうけて、どういう基準でリリースを許可したのかというところにめっちゃ興味がある。

[ITmedia NEWS]7pay、クレジット・デビットカードでのチャージ停止 不正利用対策で bit.ly/2FPTyr9

その他に気になったことはこのあたり。

CloudFlareから昨日の障害についてメール来てた。

・約30分間、502のエラーが出た
・誤った正規表現が原因で世界中のCPUが100%になった
・ロールバック対応し修正を行い、復旧した

詳細は下記URL(英語)
blog.cloudflare.com/cloudflare-out…

#CloudflareDown pic.twitter.com/tlTr5tzc8g

昨晩のCloudflareの障害は攻撃ではなくdeployしたWAFのルールのミスによるもの。 / Cloudflare outage caused by bad software deploy (updated) blog.cloudflare.com/cloudflare-out…

ブログ書きました: CloudflareのCDNが全面的に約30分ダウンし、世界中のWebサイトが影響を受ける。原因はソフトウェアの動作不良。ロールバックで対応 publickey1.jp/blog/19/cloudf…

はてなブログに投稿しました #はてなブログ
富士通やNTTデータ経由の攻撃があるかもしれない – Fox on Security
foxsecurity.hatenablog.com/entry/2019/07/…

TLPTの類型化したデータとしてATT&CKの活用も現実的になるんじゃないかな、Microsoft Defender ATPを使えばね。

techcommunity.microsoft.com/t5/Microsoft-D…

GraphQLmap – testing graphql endpoint for pentesting & bugbounty by @hahwul hahwul.com/2019/06/graphq…

自社メールのドメインが第三者になりすまされていないか知る方法として「DMARC」があります。送信ドメイン認証技術の一つで、RFC 7489で標準化されています。この記事ではDMARCが持つ認証結果のレポート機能をはじめ、上手な活用方法、情報の可視化、を紹介しています。 eng-blog.iij.ad.jp/archives/3273 pic.twitter.com/ovAmZdAJNL

JPCERT/CC Weekly Report 2019-07-03を公開。セキュリティ関連情報は5件。ひとくちメモは、6月27日にJPCERT/CC が公開した「IoTセキュリティチェックリスト」についてです。^TO jpcert.or.jp/wr/2019/wr1925…

【ブログ更新】Instagramで著名なアカウントとして認識される上で、認証バッジは有効です。一方でサイバー犯罪者は、ユーザーの認証情報を窃取するため、この認証の魅力を悪用しています。自身のアカウントを守るための3つのポイントをお伝えします。
blogs.mcafee.jp/instagram-veri…

契約したクレジットカードが届いていないのに「受け取り済み」。身に覚えのない買い物――。簡易書留郵便の不在票をマンションの集合ポストから盗んで郵便局でカードを手に入れ、不正利用する犯罪が増えています。
s.nikkei.com/2NsGRsv

脆弱性検査ツール「Nessus」開発者が考える、セキュリティが成し遂げるものとは
atmarkit.co.jp/ait/articles/1…

Slackで他社とつながるのに便利な機能「共有チャンネル」とは? 全ての有料プランで利用可能に【週刊Slack情報局】 internet.watch.impress.co.jp/docs/column/sl… pic.twitter.com/PBHIMRDJ59

[ITmedia NEWS]SMSで納税催告、東京都がスタート 「お伝えしたいことがあります」などメッセージ bit.ly/2XlyeEQ

今日のイベント、交流が目的なのに、徳丸さんがコミュ障という致命的な脆弱性が発覚した回 #タピオカセキュリティ

徳丸さん「一つ問題がございまして、私がコミュ障なものですから、皆さんから話しかけて頂ければ…」
という挨拶から始まったものの、参加者もコミュ障なのでコミュニケーションが発生しないというゼロデイ脆弱性 #タピオカセキュリティ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2681 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>