アカウント名:
パスワード:
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
頭使えば、もっと会員(カモ)が増えてからやれば良かったのに、開始直後にやっちゃったから被害者少なかったんじゃないかな。それとも複数の組織が参入してて、他にやられる前にやろうとしたのか。
こんなのは公開したらすぐに対応されると思ったんじゃない?で、善は急げと(笑)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
わりとカジュアルに漏れる内部資料 (スコア:5, 興味深い)
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
Re:わりとカジュアルに漏れる内部資料 (スコア:0)
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
Re: (スコア:0)
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
Re: (スコア:0)
頭使えば、もっと会員(カモ)が増えてからやれば良かったのに、開始直後にやっちゃったから被害者少なかったんじゃないかな。
それとも複数の組織が参入してて、他にやられる前にやろうとしたのか。
Re: (スコア:0)
こんなのは公開したらすぐに対応されると思ったんじゃない?
で、善は急げと(笑)