オムニ7アプリのソースコード漏洩があったそうです。
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか j.mp/2K0pDOa |Business Insider
ジャニーズと吉本と参院選の話ですっかり忘れていたが、7payの方も、かなりメチャクチャな話になってきてるな。- 【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187
「ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性」
世間的には設計図になってしまったのか
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187 @BIJapanより
うわぁ…omni7、コード流出2度目か…。
“DMCAテイクダウンの申請者はNTT DATA MSE社”
完全理解。
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187 @BIJapanより
github経由の無断公開が問題になるとどうせgithubへの通信遮断みたいな変な対策が施されるんだろうという偏見があるけど、実際には問題はそこじゃないはず。
自前でちゃんと実装できないのにOSS実装を使わずセキュリティレイヤーを再実装したことと、シークレットをソースに埋め込んだことだよね
ソースコード漏洩してるつったってアプリ分析すりゃわかる公開情報と、ソースコードリポジトリ内にしか含まれていなかった非公開の情報の差分見て、何が出来るか何が変わるのか比較しないと専門家の分析としては意味ないし、「ただの感想かよ」みたいな分析はっきり言って害悪だと自分は思っている。
素性の確認で協力。プッシュ通知の電子証明書やリソースファイルに直書きされたAPIシークレットで早々に本物と推定したがスマホアプリ開発中の保秘は頭の痛い課題。悪用されてなければ良いが / “【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰で…” htn.to/2MXJxjSWZc
これは濡れ衣ですね。NTTデータMSEが申し立てを行ったのはMBaaSにアクセスするためのSDKのヘッダファイルでGitHubに漏らしたのはそのSDKを使ったiOSアプリの開発を受託した輩 / “7Payガバガバ問題、NTTデータにも飛び火 : 市況かぶ全力2階建” htn.to/WARZ5XZYNM
コーナンpayが不正アクセスを受けてサービス停止しています
コーナンPay、不正ログインで「サービス一時停止」
不正利用は「確認されていない」
j-cast.com/2019/07/243634…
#コーナン #コーナンPay
『このうちおよそ100件で、利用者のメールアドレスとパスワードが使われ、不正にログインされたとみられます』
「コーナンPay」不正アクセス相次ぎサービス停止 | NHKニュース www3.nhk.or.jp/news/html/2019…
『また、今回、同様の操作により不正にログインがなされたと思われる事案も確認されました。』
2019年7月24日
コーナンPayサービス一時停止に関するお知らせ(コーナン商事株式会社)
[PDF] hc-kohnan.com/corporate/wp-c… pic.twitter.com/SbJlMiDrBI
「コーナンPay」不正アクセス相次ぎサービス停止 #nhk_news www3.nhk.or.jp/news/html/2019…
コーナンPayアプリに不正ログインを試みたと思われる事案が確認されました。
サービスが一時停止し、現在調査中らしい。
ユニクロさん、片手間で決済アプリ作るとこうなりますよ。
#7Pay #UNIQLO pic.twitter.com/w3godPjdsc
事故って初めてほんのちょっとだけ認知が広がるコーナンpay
その他に気になったことはこのあたり。
セブン-イレブンアプリはTwitterのconsumer_secretが埋め込まれていてデコンパイルで取得しています。ただ、このsecretはcallback urlへの遷移を乗っ取るようなアプリと組み合わせなければ悪用できない。2018年6月12日にcallback urlのwhitelist指定が必須化されている twittercommunity.com/t/action-requi…
ブラウザーのセキュリティに関するMario Heiderich氏によるワークショップ。安い。めっちゃ行きたい。
threatcon.io/browser-securi…
類似案件「IDだけでリクエストできるパスワードリセット」がBOOKOFF Onlineさんで悪用されたそうです。無制限に試行できたようで、再設定メールが44,505通飛びまくったとか>BOOKOFF Online|2019年7月23日 パスワード再設定のメール配信について bookoffonline.co.jp/files/guide/in… pic.twitter.com/fufdtLWI4h
会社はイケてないクソだって言う前にGitHubに秘密鍵pushしたりプライベート/パブリックリポジトリ間違えたり機密文書を間違って制限かけてないフォルダに置いたりGoogleMapsにお客様の情報書いたりするリテラシーの社員を全員首切るところから始めないといけないのかもしれないというのは割とわかる
AWS Security Hub の Findings をS3 bucketへ外出しするやつをざっくり作ったので置いておきますね #aws #securityhub / 1件のコメント b.hatena.ne.jp/entry/s/github… “GitHub – m-mizutani/aws-securityhub-exporter: Finding Exporter of AWS Security Hub” (1 user) htn.to/2nvnyx5tdT
HackTale:Windows のフォレンジック調査を体験できるゲーム。ちょっと試したところ Autopsy が出てきたり EventLog の見方を聞かれたりと凝った作りのよう。リンク先の「Start Playing」からブラウザでそのままさくっと楽しめます。 / Cyber Simulation | HackTale
hacktale.com pic.twitter.com/tnvIzNKZDJ
本日、VLC PlayerにCVSS 9.8のCriticalな脆弱性というニュースが流れましたが、公式Twitterが否定していますね。
ポツポツと、この脆弱性報告に懐疑的な記事も出ています。
howtogeek.com/434487/no-you-…
trac.videolan.org/vlc/ticket/224… twitter.com/videolan/statu…
見つけた脆弱性にCVEついた。
とりあえず4つ
gcc, binutils,nasmの脆弱性もあるんでLinuxユーザーの皆アップデートしてね
CVE-2019-14247
CVE-2019-14248
CVE-2019-14249
CVE-2019-14250
『偽装されたTwitchアカウントのチャンネルから、モグステーションやスクウェア・エニックス アカウント管理システムなどの弊社公式サイトに偽装したサイトへ誘導』
2019/05/31
FFXIV公式Twitchアカウントを装ったフィッシング詐欺にご注意ください | FINAL FANTASY XIV
jp.finalfantasyxiv.com/lodestone/news…
『この偽装Twitchアカウントは、「1文字違いになっている」、「あたかもプレイヤーであるかのように装っている」、「BOTを利用し視聴者数を増やして、ランキング上位に入っている」など、一目では本物と区別がつかない巧妙な偽装が行われています。』
これがあるから、ログインエラーメッセージにIDとパスワードのどっちが間違っていたかを知らせるなというのは脆弱性じゃない場合もあるとおもうのよねぇ。ログインエラーメッセージで分かんなくても他の方法で存在するIDがわかるから意味ないじゃん twitter.com/spammailinfo/s…
オウンドメディア LAC WATCH:
【サイバー犯罪に対峙する警察の捜査力強化に協力〜セキュリティ道場 in 白浜〜】
「第23回サイバー犯罪に関する白浜シンポジウム」の参加レポート第二弾です。ぜひご覧ください。
ライター:齋藤 実成
lac.co.jp/lacwatch/peopl…
中国の金融及びローン関連のアプリから、膨大な個人データが流出していたことが確認された。
forbesjapan.com/articles/detai…
福島市議選でトラブル ケーブルの挿し直しが原因 #期日前投票 #フィッシングサイト #スパム認定 #ネットワーク #トラブル tech.nikkeibp.co.jp/atcl/nxt/mag/n…
