パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月」記事へのコメント

  • by simon (1336) on 2019年07月10日 18時29分 (#3649687)

    社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
    しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
    サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。

    • by Anonymous Coward on 2019年07月10日 18時35分 (#3649690)

      内部資料って、「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx」とかでしょ。
      ファイル名見ただけでお腹いっぱいになりそう。
       
      # で、別の最終版があったり...

      親コメント
      • by Anonymous Coward on 2019年07月10日 22時30分 (#3649805)

        先頭に【最新版】や【改訂版】をつけたがる人がいたな・・・
        両方あってどっちが新しいんだよ、と思って確認したら改訂版の方が新しかった

        親コメント
      • by Anonymous Coward

        私のPCではxlsx ファイル開けないので
        「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx.xls」 をください

        • by Anonymous Coward

          流石にOffice 2003はもう使ってないだろう

          • by Anonymous Coward

            って思うじゃん?

            • by Anonymous Coward

              「昔いた担当が作ったテンプレ」とかあるある

          • by Anonymous Coward

            マクロ使ってるシートが互換性の問題でxlsxでもまともに表示されないのは日常茶飯事。2010で互換性チェック通してから送ってください。

            • by Anonymous Coward

              埋め込まれてるファイル名の拡張子が xls なだけだったりするんですよね。
              でも変えられないんですよね。
              潰れればいいのに。

            • by Anonymous Coward

              マクロ使っている xlsx がちゃんと開けちゃダメでしょ。

            • by Anonymous Coward

              xlsxにマクロは持たせられません。
              xlsmにしないと。

        • by Anonymous Coward

          うちの内部仕様書上げるの勘弁してくださいよ…

      • by Anonymous Coward

        そんな分かりやすい名前のわけが無いでしょ。
        「開発指針.xlsx」とか「なにかのガイドライン.xlsx」ですよ。
        #実際にあった

        • by Anonymous Coward

          知人のPCに「下町」「横内」「西脇」「手越」「洗足」などのフォルダがあったの思い出した

    • by Anonymous Coward

      どっちが出したかですね
      開発した受託会社側なのかセブン内部なのか。
      セブン内部ならまだマシ

    • by Anonymous Coward

      もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
      乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
      お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。

      だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
      攻撃を開始できた、という噂を聞いた。

      内部の協力者がいなくても、イケたんじゃないかな。

      • by Anonymous Coward

        どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。

      • by Anonymous Coward

        頭使えば、もっと会員(カモ)が増えてからやれば良かったのに、開始直後にやっちゃったから被害者少なかったんじゃないかな。
        それとも複数の組織が参入してて、他にやられる前にやろうとしたのか。

        • by Anonymous Coward

          こんなのは公開したらすぐに対応されると思ったんじゃない?
          で、善は急げと(笑)

    • by Anonymous Coward

      セキュリティがガバガバというよりは、いろいろと不満の溜まる環境だったのではないかと。
      よほどの所でないと開発資料の持ち出しができないなんてところはないよ。その気になれば楽勝。
      むしろその程度のセキュリティも回避できない程度の素人が作ってるほうが心配なぐらい。

      • by Anonymous Coward

        加盟店並の雑な扱いを、発注先システム屋にやらかしてたのでは?
        だから加盟店発並の苦情が世間に漏れ出す。

にわかな奴ほど語りたがる -- あるハッカー

処理中...