2019年8月2日のtwitterセキュリティクラスタ

コーナンPay、不正アクセスを受けてたようです。

コーナンPayは、「個人情報の漏洩や金額被害はなかった」のか。チャージ残高現金化ができた筈で危険だった。

「サービス再開の日程は決まっていない」という事は、再開する気があるのかな。
r.nikkei.com/article/DGXMZO…

『調査の結果、マネーの不正利用の事実ならびに、個人情報 (氏名、住所等)及びクレジットカード番号が閲覧されたり、参照されたりした事実はないことが確認』

2019 年 8月 2日
コーナンPayサービス提供の一時停止について(第2報)(コーナン商事株式会社)
[PDF] hc-kohnan.com/wp-content/upl… pic.twitter.com/7Ptu5AI1Q7

『中国から不正アクセスがあり、約500アカウントに不正ログインの記録があった。個人情報の漏洩や金額被害はなかったとしている。』

コーナン「金額被害はなし」 電子マネー不正アクセスで:日本経済新聞 nikkei.com/article/DGXMZO…

少なくとも昨日まではトップページに表示していたコーナンPayの一時停止のお知らせもなくなってますね… pic.twitter.com/znTNKHNxfq

コーナン商事(ホームセンターコーナン)は木材カットコーナーのメモ用紙に数字が入った書類の裏紙を使うファンキーな会社さんなので何が起こっても驚くに値しない。 pic.twitter.com/dcQ1ONd4CF

★7pay→大規模な不正アクセスと不正使用、終息へ
★コーナンPay→7月になって不正アクセス、再開の見通し立たず
★ファミペイ→スタートダッシュで障害、現在は普通に使えるが先行き不透明
政府のポイント還元策に間に合わせるために立ち上げた2次元コード決済が軒並みコケてるのは笑えない…

楽天Pay
「クソッ……セブンペイがやられたか……」

LINE Pay
「だが奴は我々QRコード決済四天王の中でも最弱……」

コーナンPay
「不正決済ごときにやられるとはQRコード決済の面汚しよ……」

PayPay
「お前誰だよ」

その他に気になったことはこのあたり。

OAuth2.0のGoogle連携ソーシャルログイン。クライアントはスマホ。リクエスト取得して診断してもらってた。

最終日にOAuth2.0の診断について相談されて確認してたら、認可コードが送信されずにメアドのみ送信してたので任意ユーザーでログインできた…おぃ…

危うく7payの二の舞になるとこだった…

これはOAuth2.0をしっかり理解してない診断担当者だと漏らす可能性はあると感じた。

実際、OAuth2.0を理解してる診断担当者ってどれだけいるのか…1割もいなさそうな気がする。

診断会社の選定と担当者の実力はかなり影響すると思う。

マルウェアファイルの末尾に文字列を加えるだけで、50-85%程 検知回避ができたようだ。
パッチで回避可能かは不明なため、ワークアラウンドとして多層防御しろ、と。

JVNVU#98738756
Cylance のアンチウイルス製品にマルウエア検知を回避される問題
jvn.jp/vu/JVNVU987387…

友人がLINE Payで送金した際、「再度送金してください」とエラーメッセージが出たので再度送金したところ2重支払いになったそうです。

問い合わせても1週間くらい放置されているとのこと。

Fintechだから失敗しても許されるみたいな甘えた気持ちで金融に携わらないで欲しい。 pic.twitter.com/ux1jArsuu1

10月7-12日にあの有名なKerberoast攻撃を作ったTim Medinさん(@TimMedin )がSANS 660の上級ペンテストコースを教えます!トップクラスのペンテスターになりたい人にこのコース(&GXPN資格)をおすすめします! #ペネトレ sans-japan.jp/sans_tokyo_aut…

Version v3.0.27 of #OWASP #Amass has been released!

Project developers and testers have made noticeable performance enhancements to the tool. Update yours before the demonstrations at #DEFCON27

#osint #recon #redteam #bugbounty #AssetDiscovery

github.com/OWASP/Amass

CVE-2019-8646 (iMessage) is a scary bug! Leaking files remotely, without user interaction, via a callback from iOS. Delivery of SMS database in a silver plate via 0 tap, anyone?
bugs.chromium.org/p/project-zero…
Other 4 bugs are as bad:
bugs.chromium.org/p/project-zero…
you dead if not on iOS 12.4

Next Friday at #DEFCON27, Roger Dingledine will get you up to speed on the ways governments have tried to block Tor, walk through our upcoming steps to stay ahead, and give you some new—easier—ways that let you help censored users reach the internet safely. #DEFCON #censorship pic.twitter.com/dQtrQfaHw3

Simple MITM attack can be bypass VISA contactless limits? Interesting.

MITM< “Verification has already been made!” to the terminal.
MITM< “Verification is not necessary!” to the card.
ptsecurity.com/ww-en/about/ne…

IPAでは「夏休みにおける情報セキュリティに関する注意喚起」を公開しています。長期休暇前に必要な対策や休暇明けに行うべき対策のほか、最近、相談事例の多い“宅配便業者をかたる偽のSMS”のご紹介しています。しっかり対策を行い、安全で楽しい夏休みをお過ごしください。ipa.go.jp/security/topic…

その道に明るくない人にわかってもらうのは大変だよね…特にエンジニアはいつも大変そう。 / “『7payみたいになりますよ』一般人にもわかるセキュリティ事故&半年未満で終了という実績は客先で使える!「人は学ばない」 – Togetter” htn.to/3QoZoR8EKK #Togetter

セキュリティの面では焦点と見られていた7iDとオムニ7に関しては、ほぼ情報はなかった格好です / 「7pay」会見まとめ:9月末でサービス終了、不正利用で3861万円の被害 – Engadget Japanese engt.co/2ZAGAVS pic.twitter.com/SMUC2sYF0P

使ってみると便利な2要素認証用ハードウェアをGoogleが販売開始。Home mini的なセール商材にしてくれないものでしょうか…… / GoogleのTitanセキュリティキーが日本でも発売に。G Suite向けセキュリティ強化機能も発表 – Engadget Japanese engt.co/2GGDGrr pic.twitter.com/1eO9sdqrGe

「つまらないSOC業務」からの脱却、NTTセキュリティ“5つのSOC改革”を聞く ―働く人のパフォーマンスと幸せ、顧客満足度のすべてを高め「世界最高峰のSOC」を目指すために
ascii.jp/elem/000/001/8… pic.twitter.com/xMPLRA2LbF

[ITmedia エンタープライズ]ホンダのデータベースが無防備状態で発見 社内マシンやCEOの情報も bit.ly/2GDo2gf

[ITmedia エンタープライズ]韓国の決済カード情報100万件超がダークWebに、アジア太平洋狙う攻撃が急増 bit.ly/2Zq0CT9

[ITmedia エンタープライズ]誰が為のセキュリティ:「ちょっと標的型攻撃メール訓練やってくれない?」と言われたら bit.ly/335w3EE

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>