アカウント名:
パスワード:
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
わりとカジュアルに漏れる内部資料 (スコア:5, 興味深い)
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
Re: (スコア:0)
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
Re:わりとカジュアルに漏れる内部資料 (スコア:0)
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。