2019年7月24日のtwitterセキュリティクラスタ

オムニ7アプリのソースコード漏洩があったそうです。

【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか j.mp/2K0pDOa |Business Insider

ジャニーズと吉本と参院選の話ですっかり忘れていたが、7payの方も、かなりメチャクチャな話になってきてるな。- 【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187

「ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性」
世間的には設計図になってしまったのか

【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187 @BIJapanより

うわぁ…omni7、コード流出2度目か…。

“DMCAテイクダウンの申請者はNTT DATA MSE社”

完全理解。

【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか|BUSINESS INSIDER businessinsider.jp/post-195187 @BIJapanより

github経由の無断公開が問題になるとどうせgithubへの通信遮断みたいな変な対策が施されるんだろうという偏見があるけど、実際には問題はそこじゃないはず。
自前でちゃんと実装できないのにOSS実装を使わずセキュリティレイヤーを再実装したことと、シークレットをソースに埋め込んだことだよね

ソースコード漏洩してるつったってアプリ分析すりゃわかる公開情報と、ソースコードリポジトリ内にしか含まれていなかった非公開の情報の差分見て、何が出来るか何が変わるのか比較しないと専門家の分析としては意味ないし、「ただの感想かよ」みたいな分析はっきり言って害悪だと自分は思っている。

有識者だとか専門家とかで居たいんだったらさあ、それなりのさあ、あるだろうがもっとこう

素性の確認で協力。プッシュ通知の電子証明書やリソースファイルに直書きされたAPIシークレットで早々に本物と推定したがスマホアプリ開発中の保秘は頭の痛い課題。悪用されてなければ良いが / “【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰で…” htn.to/2MXJxjSWZc

これは濡れ衣ですね。NTTデータMSEが申し立てを行ったのはMBaaSにアクセスするためのSDKのヘッダファイルでGitHubに漏らしたのはそのSDKを使ったiOSアプリの開発を受託した輩 / “7Payガバガバ問題、NTTデータにも飛び火 : 市況かぶ全力2階建” htn.to/WARZ5XZYNM

オムニ7の漏洩、この図の末端がGitHubに残しちゃってというのが話しのオチっぽいですね pic.twitter.com/JrITLlxjcG

コーナンpayが不正アクセスを受けてサービス停止しています

コーナンPay、不正ログインで「サービス一時停止」

不正利用は「確認されていない」
j-cast.com/2019/07/243634…
#コーナン #コーナンPay

『このうちおよそ100件で、利用者のメールアドレスとパスワードが使われ、不正にログインされたとみられます』

「コーナンPay」不正アクセス相次ぎサービス停止 | NHKニュース www3.nhk.or.jp/news/html/2019…

『また、今回、同様の操作により不正にログインがなされたと思われる事案も確認されました。』

2019年7月24日
コーナンPayサービス一時停止に関するお知らせ(コーナン商事株式会社)
[PDF] hc-kohnan.com/corporate/wp-c… pic.twitter.com/SbJlMiDrBI

あのIDそのまま出すしょっぱい実装で笑いを取ってたコーナンPayが

コーナンPayアプリに不正ログインを試みたと思われる事案が確認されました。
サービスが一時停止し、現在調査中らしい。
ユニクロさん、片手間で決済アプリ作るとこうなりますよ。
#7Pay #UNIQLO pic.twitter.com/w3godPjdsc

コーナンPay、サービス停止して使えない。
コーナンさん、私のコーナンマネー1919円返してください(´・ω・`) pic.twitter.com/Vf0vpIdXKO

姉にも言ったけど
みんな口を揃えてコーナンpayとか初めて知ったって言ってる

登録してないのにコーナンPayのメールが来た人、多分どこかのメールリスト(アカウントリスト)にアドレスが入っちゃってるんだろうな。自分も気をつけてたけど、海外のWebサービスに登録した奴がリストに含まれちゃったようで、そのアドレスだけ定期的に外国のspamが来る。

ところで7payでは、勝手にクレジットチャージして電子タバコを数十万円分(あとPOSA?)を買って現金化する予定だったようだけど、コーナンPayは何で現金化するつもりだったんだろう……。

その他に気になったことはこのあたり。

セブン-イレブンアプリはTwitterのconsumer_secretが埋め込まれていてデコンパイルで取得しています。ただ、このsecretはcallback urlへの遷移を乗っ取るようなアプリと組み合わせなければ悪用できない。2018年6月12日にcallback urlのwhitelist指定が必須化されている twittercommunity.com/t/action-requi…

ブラウザーのセキュリティに関するMario Heiderich氏によるワークショップ。安い。めっちゃ行きたい。
threatcon.io/browser-securi…

類似案件「IDだけでリクエストできるパスワードリセット」がBOOKOFF Onlineさんで悪用されたそうです。無制限に試行できたようで、再設定メールが44,505通飛びまくったとか>BOOKOFF Online|2019年7月23日 パスワード再設定のメール配信について bookoffonline.co.jp/files/guide/in… pic.twitter.com/fufdtLWI4h

会社はイケてないクソだって言う前にGitHubに秘密鍵pushしたりプライベート/パブリックリポジトリ間違えたり機密文書を間違って制限かけてないフォルダに置いたりGoogleMapsにお客様の情報書いたりするリテラシーの社員を全員首切るところから始めないといけないのかもしれないというのは割とわかる

AWS Security Hub の Findings をS3 bucketへ外出しするやつをざっくり作ったので置いておきますね #aws #securityhub / 1件のコメント b.hatena.ne.jp/entry/s/github… “GitHub – m-mizutani/aws-securityhub-exporter: Finding Exporter of AWS Security Hub” (1 user) htn.to/2nvnyx5tdT

HackTale:Windows のフォレンジック調査を体験できるゲーム。ちょっと試したところ Autopsy が出てきたり EventLog の見方を聞かれたりと凝った作りのよう。リンク先の「Start Playing」からブラウザでそのままさくっと楽しめます。 / Cyber Simulation | HackTale
hacktale.com pic.twitter.com/tnvIzNKZDJ

超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる
bit.ly/2SBwf9v

本日、VLC PlayerにCVSS 9.8のCriticalな脆弱性というニュースが流れましたが、公式Twitterが否定していますね。

ポツポツと、この脆弱性報告に懐疑的な記事も出ています。
howtogeek.com/434487/no-you-…
trac.videolan.org/vlc/ticket/224… twitter.com/videolan/statu…

見つけた脆弱性にCVEついた。
とりあえず4つ
gcc, binutils,nasmの脆弱性もあるんでLinuxユーザーの皆アップデートしてね
CVE-2019-14247
CVE-2019-14248
CVE-2019-14249
CVE-2019-14250

『偽装されたTwitchアカウントのチャンネルから、モグステーションやスクウェア・エニックス アカウント管理システムなどの弊社公式サイトに偽装したサイトへ誘導』

2019/05/31
FFXIV公式Twitchアカウントを装ったフィッシング詐欺にご注意ください | FINAL FANTASY XIV
jp.finalfantasyxiv.com/lodestone/news…

『この偽装Twitchアカウントは、「1文字違いになっている」、「あたかもプレイヤーであるかのように装っている」、「BOTを利用し視聴者数を増やして、ランキング上位に入っている」など、一目では本物と区別がつかない巧妙な偽装が行われています。』

これがあるから、ログインエラーメッセージにIDとパスワードのどっちが間違っていたかを知らせるなというのは脆弱性じゃない場合もあるとおもうのよねぇ。ログインエラーメッセージで分かんなくても他の方法で存在するIDがわかるから意味ないじゃん twitter.com/spammailinfo/s…

オウンドメディア LAC WATCH:
【サイバー犯罪に対峙する警察の捜査力強化に協力〜セキュリティ道場 in 白浜〜】
「第23回サイバー犯罪に関する白浜シンポジウム」の参加レポート第二弾です。ぜひご覧ください。
ライター:齋藤 実成
lac.co.jp/lacwatch/peopl…

人気顔写真加工アプリの便乗攻撃 – 有料版が無料とだます手口 ift.tt/2JL4HvC

中国の金融及びローン関連のアプリから、膨大な個人データが流出していたことが確認された。
forbesjapan.com/articles/detai…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>