2019年8月1日のtwitterセキュリティクラスタ

7Payサービスやめるってよ

【セブンペイ 9月末で終了へ】
yahoo.jp/bWKMBI

セブン&アイ・ホールディングスがスマートフォン決済「7pay(セブンペイ)」のサービスを9月末で終了する方針を固めたことが1日、分かった。

初夏を彩る線香花火でしたね。

セブンペイ、9月末で終了へ(共同通信) – Y!ニュース headlines.yahoo.co.jp/hl?a=20190801-…

そして伝説へ / セブンペイ、9月末で終了へ | 共同通信 bit.ly/2OyqtHD

スマート決済戦争はどこが勝つかな~と思っていたら、まさかの7pay脱落。大手の資本力があれば多少のセキュリティの甘さくらい何とでもなるだろと思っていたけれど、ならないんだなぁ。セキュリティ重要。
「7pay」9月末で終了へ | NHKニュース
www3.nhk.or.jp/news/html/2019…

セブンペイ、9月末で終了へ(共同通信) headlines.yahoo.co.jp/hl?a=20190801-…

RT @HyadainMaeyamad: 本日7/1からサービス開始!セブンイレブンで使える決済サービス「7PAY」こちらの決済音を担当させていただきました!全国のセブンイレブンで流れると思うと感動です!
7pay.co.jp

セキュリティ研究者

半年前:今決済サービスが乱立しているのは企業が個人情報を収集して悪意ある利用を目論んでいるものであってこれはプライバシーにとって脅威であるから社会に警鐘を鳴らす云々

今:でけてへんやんけー、基本的なことが!

こんなにセキュリティ上ガバガバな実装しかできないところがまともなデータ分析をできるだろうか。

7pay終了してオムニ7の問題を隠す形になったら問題なので、この辺りは現地組に質問責め任せます

あの突破力と速さ、不正突破された数。アタックはフェイクで、もっと大きな穴がありそうなんだけどなぁ。オムニ7残すために、認証周りの穴を隠してひっそり直してたりはしないよなぁ。てか、大規模アタック受けてアラート上がらないシステムだったの?意味不明 twitter.com/j17sf/status/1…

株主の皆様
セブンペイ廃止が話題ですが開発費用は約142億円です

よろしくお願いします pic.twitter.com/thhqj4UstO

7&i さん、ね、Omni7 もとめちゃお?そうしよ?

ひと夏の風のようにナナペーが吹き去っていった雰囲気がタイムラインに漂っているが,ベンダやコンサルを巻き込んだ地獄の交渉が始まるのはこれからでは

セブンイレブンドーナツさん
天国で聞いてますか?
そのうちそちらにセブンペイさんが行きますからね… pic.twitter.com/EDlt341GC7

7pay、サービス終了までの速さランキングならこのあたりに入る

妖怪惑星クラリス:75日
7pay:92日
戦姫絶唱シンフォギア スケルツァンド:104日

セキュリティインシデントの公表タイミングをうかがっている組織は、今なら7payが話題もっていくので公表チャンスですかね

【2019年セブンイレブン炎上まとめ】
1月 恵方巻大量廃棄フードロス炎上
2月 おでん吐き出し動画炎上
3月 深夜時短営業炎上
4月 東日本橋店オーナー失踪炎上
5月 永松新社長発表の行動計画炎上
6月 食品ロスポイント付与で炎上
7月 7pay不正利用で炎上
8月 セブンペイサービス終了www

7pay終了の記者会見に、株式会社セブン・ペイの社長が出ていない。#7pay #セブンペイ #セブンイレブン

7Payの会見、すんげぇ偉そうな態度で不愉快やなと思ってたら、不正アクセスの原因はリスト型攻撃だと断定して、結局顧客に責任を押し付ける内容で、えらそうな口に7Payカード100枚ぐらい突っ込んで黙らせたくなった。

ちょっと待ってリスト型攻撃だと断定してるけど、オムニ7のパスワードを忘れた方の再発行の工程で任意のメールアドレスに送信できた点はどうなん。これはログインしなくてもできたわけで・・・本当にリスト型なの?

三上さん「チャージ用パスワードがあり、パスワードを使い回していない人もいる。リスト型は低いのでは?」
まさにこの疑問。

リスト型であると結論した要因、その時間に複数の、IDがないアクセスがあった。そのあとにパスワードハック。1件1件ログの調査をしているが、同じ流れでアクセスされたことがはっきりしている。個別のお客様についてはコメントできない。いくつか、チャージと7IDパスワードを同じにしていた証言も

チャージパスワードと7IDパスワードを同じものが設定できる仕様だった。

その辺含め「リスト型である」と判断している。

4日の7pay会見以降にも80件弱の不正利用があったことが判明

Q:7/4の会見以降の被害について(今日の会見で不透明だったので広報に確認しました)
A: 前回の会見以降、7月中旬までの被害は「1日あたりで数件程度、今回発表させて頂いた808という数値に対しては約1割弱あった」

最初の会見のとき、何て言ってたんだっけ? チャージだけ止めても利用の被害ご続くんでは?との質問に何と答えてたんだっけ? どうせ補償するんでほっとけって話だったんかな。
twitter.com/epbrc/status/1…

Q : 7Payの保険はどうなってる?
A : 加入してませんでした

おいおいw

#7pay終了

7payが廃止決めたのは10月から始まる経産省のポイント還元制度のキャッシュレス決済事業者に登録できないのが判明してやる意味なくなったんだろうなって思いましたまる

その他に気になったことはこのあたり。

同僚が記事を書いてくれた。アプリケーション層のセキュリティを担当しているメンバーの日常が伝わるといいなあ。 twitter.com/kohyouliang/st…

LibreLogoの脆弱性については、もうすぐ(予定では8/6)リリースの6.3では対処されています。6.2系も少なくとも1週間以内には出る予定です。取り急ぎ twitter.com/jingbay/status…

基調講演が4本。LT以外全部基調講演なのか。もう何が基調になるのかw  /「OWASP Kansai x IoTSecJP… | OWASP Japan Blog 〜I can blog a little〜 bit.ly/2OxddmF

セキュリティごった煮ブログを更新しました。【難読化の話(超!?入門編)その3 後編】「難読化の話」の第5弾です。今回はJavaや.NETなどで作られたプログラムの難読化ツールとして、仮想マシン型の難読化について触れています。難読化に興味のある方はぜひご覧ください!
netagent.co.jp/study/blog/har…

JPCERT/CC公式ブログ JPCERT/CC Eyes「マルウエアの設定情報を自動で取得するプラグイン ~MalConfScan with Cuckoo~」を公開。マルウエア分析に便利なツールMalConfScanを使ったCuckoo Sandboxプラグインを作成しました。^YK blogs.jpcert.or.jp/ja/2019/08/mal…

iPhoneのBluetoothをオンにしているだけで付近の人に電話番号が漏れてしまうことが判明
gigaz.in/2K6sOVM

電話番号どころか、何をやってるかまでモロバレしてるようだが、バグというよりはアップルエコシステムの仕様だそうで、さすがプライバシーを大切にする会社ですな。> iPhoneのBTをオンにしているだけで付近の人に情報が漏れてしまう twitter.com/gigazine/statu…

セキュリティの国家資格者、6割はセキュリティ業務を担当–IPA調査 japan.zdnet.com/article/351407…

[ITmedia エンタープライズ]小型機の制御用通信システム実装にセキュリティ問題、データ不正操作される恐れ bit.ly/2GC2uAD

[ITmedia Mobile]「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問 bit.ly/2GE7kh6

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>