2019年7月31日のtwitterセキュリティクラスタ

7iDのパスワードを再設定したら7payの残高が消える!?

7payとんでもないバグが起きてる気がする…………
1円も一度もチャージしてないのに、アプリの会員バーコード読んでもらったらなぜか決済処理が完了してしまった…………

7Pay、パスワードを強制リセットしたのではなくて、顧客管理のDB壊れたのではないかい?

Omni7なぜか一切ログインできなくなっちゃった。外部IDでログインしてた場合どうやっても詰むな。パスワード再設定もできないし、外部IDの方でパスワード変更してもログインできない。

数時間前のcookieをtime machineから引っ張ってきたらログイン済みの状態に戻せたけど、注文しようとするとパスワードリセットしてくれと言われるし、説明通りに進めても外部IDで認証後にログインできませんでしたと言われて詰むしでどうしようもないな。何か注文したければID作り直すしかなさそう。

なんかわからないですけど治りました。一時的なものだったのかも。

外部IDでのログインに不安があったので、今までの購入履歴と多少残ってたnanacoポイントを犠牲にして結局退会しました。任意文字列でのログインで作り直し。

つまり、パスワードリセット直前の個人情報では駄目で、セブンイレブンに初回登録した時点でのID、苗字、電話番号を入力すると、初回登録した時点での登録メアドにパスワード再設定メールが返って来るというシステムらしい。 #セブンイレブンアプリ pic.twitter.com/c5oFv0XGwI

ちなみに私はオムニ7になる前のセブンイレブンショッピング時代からの利用者だが、メアドではなかった当時のIDなんて探しても見つからないぞ。リンク先の「会員IDをお忘れの方」で問い合わせてもメール返ってこないし。

登録当時のメールアドレスが現在使用できないのでパスワード再設定メールを受信できないという人は、カスタマーセンターに問い合わせしてくれとのことです。 #セブンイレブンアプリ pic.twitter.com/XIcpWZl3mT

アカウント作成時の登録情報を入力する仕様は、セキュリティコンサルの指導だろうか。確かに、既に不正ログインで書き換えられている可能性のある登録情報を使ってもなという面は理解できる。しかし、そこを言うなら、既に元情報を閲覧されているのだから、意味がないのでは。
twitter.com/Y_SINOBU/statu…

7iDのパスワード再設定で「残高消えた」報告相次ぐ セブン&アイは不具合を否定、ユーザーの誤解か
itmedia.co.jp/news/articles/…

【セキュリティ強化】7iDパスワード再設定、「残高消えた」との報告相次ぐ
news.livedoor.com/article/detail…

セブン&アイHDは「不具合ではない」と回答。「普段使っていないIDを誤って入力したため」と説明した。 pic.twitter.com/fhWZInufXk

ちょっと意味がわからない。「外部IDでログインされていた方」想定で指示通りに進むと、こうなるのだが…… pic.twitter.com/S8gIR0ZUIq

続きはこうなって、元に戻ってしまう。WebにID連携でログインしても意味なくて、アプリに他サイトからログインしないと……と思いきや、それはまだ中止中だった。ていうか、他サイトでログインしてるのに、パスワード変更とは?何のパスワード?? pic.twitter.com/IevQ21cER7

あーわかった。この画面が出るはず(出ないのは私の他サイトIDで作ったアカウントがアプリに登録した履歴がないため?)で、その先に進めば登録するようになっていて、要するにアプリは他サイトID連携やめて7iD+パスワード作って入れということね。先にその説明が要るのでは?
omni7.jp/general/static… pic.twitter.com/qSqp7x5Bbu

いったい何のために全利用者のパスワードをリセットする必要があったんだか、少なくともリスト型攻撃という説明だけでは納得し難いんですよね / “7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)” htn.to/2RuLyt6g4d

その他に気になったことはこのあたり。

おっと?
コーナンPayでクレジットカードを現金化できる事がバレたため、
オンラインチャージ機能がついに停止されました(´・ω・`)
コーナンさん、対応遅すぎるよ。
#7Pay #セキュリティ脆弱性 pic.twitter.com/camNRHi7Fj

developers-jp.googleblog.com/2019/07/chrome…
この拡張いれたら、 `google .com` と混同しがちな `go0gle. com` で警告出してくれるのなら、 `examp1e .net` も警告出してくれるかなと思ってアクセスしたら違うエラー出た(いつも通り)。

送信元偽装SMSでAmazonを語った架空請求詐欺が来た pic.twitter.com/FXdtGAGN0J

補足すると、セキュリティコードはAmazon正規から送られてきているもので、03-6478-5094という番号は架空請求元の番号です。

この「推定5億円超もするiOSの6つの脆弱性」はBlackHat 2019で発表されるそうだ。

Look, No Hands! — The Remote, Interaction-less Attack Surface of the iPhone
Natalie Silvanovich | Security Engineer, Google
blackhat.com/us-19/briefing… twitter.com/ntsuji/status/…

ショートメール宛にこんな詐欺メールきた
行き先の最後、.pwなんてありえねー pic.twitter.com/6TqJIH0kpk

先日、有名人のSNSアカウントが乗っ取られ、プロフィール画像を変えられたり、過激な動画を投稿されたというニュースがありました。現在は無事にアカウントを取り戻せたとのことです。(1/2)

みなさまもそのような被害に遭わないように、アカウントのパスワードはできる限り長く、複雑にし、使い回さないようにしてください。また多要素認証サービスが使用できる場合は、その設定を行うことを推奨します。(2/2)
ipa.go.jp/chocotto/pw.ht…

ダークウェブの教科書
~匿名化ツールの実践~
Cheena著

NHKの特集番組で仮想通貨の不正流出ルートを追跡したホワイトハッカーのデビュー作が完成
ダークウェブをテーマにインターネット上での匿名化の最新手法を徹底解説

2019年9月5日発売開始
Amazonにて予約受付中です
amazon.co.jp/dp/4781702414/

うぉー、あのCheena(@cheenanet )さんが本出したってマジすか?

自分憧れてるんでサインいっすか?!w twitter.com/11942694/statu…

【トレンド解説】【徹底解説】スパイグループ「Turla」はPowerShellをどのように悪用しているのか eset-info.canon-its.jp/malware_info/t… スパイ集団TurlaがPowerShellを利用してインメモリのみでマルウェアを実行するという新たなTTP(戦術、手法、手順)について、#ESET 社のリサーチャーが分析しました pic.twitter.com/mk5AXotQBX

#MyDoom は悪名高いコンピュータワームで2004年初めに最初の記録があります。全盛期を過ぎたいまでも同マルウェアはサイバー脅威の界隈でその存在感を示し続けています。詳しくはこちら: bddy.me/2YtFnOR pic.twitter.com/rd5WP6wOoj

マーカス・ハッチンスは、法律の2つの側面を見ることになった。テッククランチ(TechCrunch)は7月26日… #テクノロジーレビュー
zpr.io/gvuLD

転売目的で他人の「モンスト」アカウント乗っ取り 無職男逮捕 栃木県警
sankei.com/affairs/news/1…

→容疑者は「売買目的だったが、違法性を認識していなかった」などと容疑を一部否認

1億人分の情報漏えいの容疑者は元アマゾン勤務、33歳のペイジ・トンプソン、いま分かっていること dlvr.it/R9NJqx |Business Insider

6月は328件のDDoS攻撃を観測、「Mirai」ボットの特徴を持つアクセス増加も~IIJ調査  internet.watch.impress.co.jp/docs/news/1199… pic.twitter.com/88hPeHZsPG

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>