2019年7月30日のtwitterセキュリティクラスタ

7Pay、パスワードが全部強制リセットされたそうです

そうなの?>『セブン&アイHDは、セブンペイの不正利用は、IDとパスワードの組み合わせ(リスト)を手当たり次第に入力して不正にログインする「リスト型攻撃」による被害との見方を強めている』 / “セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞” htn.to/2HvmAWMpt9

被害者の証言からは、パスワードリスト攻撃を否定する材料が出ていたと思うのですがねぇ

パスワードリセットという情報を得て、脆弱性を修正したのだなと思ったのですよ。脆弱性修正後にパスワードリセットすることは、漏洩したアカウント情報を無効化するために必要ですし、それは脆弱性を修正してからでないと意味がない…と思っていたら、パスワードリスト攻撃ですか、そうですか。

セブン、全会員のパスワードを強制リセット 1650万人: 日本経済新聞 nikkei.com/article/DGXMZO… “セブンペイの不正利用は、(中略)「リスト型攻撃」による被害との見方を強めている。パスワードを変更すれば、組み合わせを変えることができ、不正利用されるリスクを減らせるとみる。” 本気で言ってんのか

全員パスワード強制リセット中の7Pay、OK押しても無限にこのアラートが出てくる。

「会員バーコードのみ下記よりご利用いただけます」
下記とは…? pic.twitter.com/Qkfntm3I71

7payの残高残っていたし
チャージした履歴も消された

セブンイレブンのアプリ
残高残っている人はアップデートしない方が良いかも pic.twitter.com/SffHuWTT0f

セブンアプリ強制リセットで7payの残高とバッジも消えてしまった・・・(つд⊂)エーン

セブンイレブンも詐欺と一緒だよ。

残高返せよ!#セブンペイ #セブンアプリ pic.twitter.com/dOXCrxGDTz

7iDの強制パスワードリセットが来たからやってみた。
なんのことない、従来からのパスワード再設定と変わらない。
試しに以前と同じパスワードで再登録してみたらあっさり登録されて、2段階認証もない。
やる意味あるのかこれ
#7pay pic.twitter.com/bUDB49sdJF

7payの不正アクセス防止の影響でセブンのアプリが強制的にパスワード変更させられたんだけど、アプリのバッチやクーポンが全て無くなりました。
セブンさん…あはははは

オワタ(^人^) pic.twitter.com/hC1UOxFkf5

7iDってメアドをIDにしていても大文字小文字を区別するから、同じメールアドレスでも入力時に大文字にした等で別アカウト扱いになってる可能性も…

7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ
togetter.com/li/1382035

セブン、全共通ID会員のパスワードを強制リセット 1650万人 nikkei.com/article/DGXMZO…

これまでとは異なるパスワードを再設定しないとサービスを使えなくなります。
mainichi.jp/articles/20190…

「7pay」の不正アクセス被害を受けて「セブン&アイHD」は、各社が展開する通販サイトやアプリについて、利用の際に必要となる会員のパスワードを強制的にリセットすることを明らかにした。対象は1650万人あまりにのぼり、30日の午後4時までにリセットを終える。
www3.nhk.or.jp/shutoken-news/…

パスワードの設定条件も変更されています

セブン、「7iD」全ユーザーのパスワードをリセット セキュリティ強化の一環で
nlab.itmedia.co.jp/nl/articles/19… pic.twitter.com/hhE2XJGYVy

セブンペイの問題はセブンiD全体の問題に拡大。サービス再開にどう道筋をつけるのでしょうか。

セブン&アイ、7iDのパスワードを一斉リセット:朝日新聞デジタル asahi.com/articles/ASM7Z…

Omni7の外部ID連携ですが、Yahoo!IDで試して見たところOmini7に認証されませんでした。
Yahoo!のOIDC APIからはSessionが返ってきており、Yahoo!側の外部アプリケーションにOmni7が登録されています。
これまだまだヤバいですよ! pic.twitter.com/3MNbYQSrj1

TwitterのOIDCでは新規会員登録画面に遷移してしまいましたが、Twitterのアプリのアクセス権にはしっかりOmni7が表示されます。
Omni7のパスワード再設定の説明にはしっかり外部連携からのパスワード再設定の手順まで載っているのに出来ない上に内容もボロボロ
omni7.jp/general/static… pic.twitter.com/6jIz1MJK0h

外部ID連携が失敗した時にトークンを返すバグは直っているみたい

その他に気になったことはこのあたり。

Chrome 76 betaでFetch Metadata Request Headersが導入された。 XS Leaksなどを防ぐために読み込み元のコンテキスト情報がリクエストヘッダとして送信される仕組み。 <img> で読まれたリソースの場合は `Sec-Fetch-Dest: image` など。
w3c.github.io/webappsec-fetc…

記事の内容は良いと思いますし記者さん関係無いことは百も承知ですが、アイティメディアIDは二要素認証非対応な「IDとパスワードのみ」で、しかもパスワード「半角英数字で最大12文字」なので、なんというか残念… / 認証方法は「IDとパスワードのみ」が7割超 @itmedia_news
itmedia.co.jp/news/articles/… pic.twitter.com/IBXbCYWZzo

2011年にGoogleがTOTPで2段階認証という名前を広め、その後もリスト攻撃やら漏洩騒ぎやらで散々話題になって、最近はFIDOのニュースに「ふむ」とか言っとるくせに、小さいとこはずっとパスワード認証やっている。もう認証機能捨てて識別子の管理だけしてれば良いよ。不安は保険で解消しよう保険で。

@ritou 前から言ってるけど、公害に対して規制があるみたいに、法規制か課税するしか無いと思っております。 #password

Kindleで配信されたので早速読んでみたけど、これは面白いですね。ちょうどBinanceのたった2年での急成長と拠点配置について調べてたので色々と考えさせられました。そしてLibraに対して各国当局が厳しい理由も @nekokumicho / “「金融ダークサイド」暗号資産規制を左右す…” htn.to/3Ym9GsPsmX

犯人の女性は以前AWSでクラウドストレージのエンジニアをやっていて、今回設定ミスをついてS3から情報を抜き取っているのはなかなかですね…

Capital One gets Capital Done: Hacker swipes personal info on 106 million US, Canadian credit card applicants
theregister.co.uk/2019/07/30/cap…

元AWS社員が逮捕されたと話題の件だが逮捕された犯人はSlackやTwitterで自慢していたとか、Seattle Warez Kiddiesというグループに所属とかあまり大物な気がしない。脆弱性とはfirewallの設定ミスとのみ説明されているがアクセス制限しか無かったのだろうか? twitter.com/TechCrunch/sta…

@jingbay S3にファイルが置いてあったという報道で、アクセス制御もかかってなかったのではないか疑惑を持っています。

「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは?
bit.ly/2K2ZIa3

[ITmedia エンタープライズ]半径300メートルのIT:「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと bit.ly/319qP97

ウェブサイトの脆弱性届出が急増、大半がXSSで400件超~2019年第2四半期IPA報告  internet.watch.impress.co.jp/docs/news/1198… pic.twitter.com/hekwPODhe6

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>