アカウント名:
パスワード:
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
内部資料って、「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx」とかでしょ。ファイル名見ただけでお腹いっぱいになりそう。 # で、別の最終版があったり...
先頭に【最新版】や【改訂版】をつけたがる人がいたな・・・両方あってどっちが新しいんだよ、と思って確認したら改訂版の方が新しかった
ドキュメントやフォルダの一覧で
新〇〇次世代○○○○改○○2.0(2.1他)
という名前が並んでるのを見ると微笑ましく思えてしまう。
鉄道の「こんど・つぎ」みたいな(笑
こっちが最新ほんとの最新本家最新元祖最新
私のPCではxlsx ファイル開けないので「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx.xls」 をください
流石にOffice 2003はもう使ってないだろう
って思うじゃん?
「昔いた担当が作ったテンプレ」とかあるある
マクロ使ってるシートが互換性の問題でxlsxでもまともに表示されないのは日常茶飯事。2010で互換性チェック通してから送ってください。
埋め込まれてるファイル名の拡張子が xls なだけだったりするんですよね。でも変えられないんですよね。潰れればいいのに。
マクロ使っている xlsx がちゃんと開けちゃダメでしょ。
xlsxにマクロは持たせられません。xlsmにしないと。
うちの内部仕様書上げるの勘弁してくださいよ…
そんな分かりやすい名前のわけが無いでしょ。「開発指針.xlsx」とか「なにかのガイドライン.xlsx」ですよ。#実際にあった
知人のPCに「下町」「横内」「西脇」「手越」「洗足」などのフォルダがあったの思い出した
どっちが出したかですね開発した受託会社側なのかセブン内部なのか。セブン内部ならまだマシ
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
頭使えば、もっと会員(カモ)が増えてからやれば良かったのに、開始直後にやっちゃったから被害者少なかったんじゃないかな。それとも複数の組織が参入してて、他にやられる前にやろうとしたのか。
こんなのは公開したらすぐに対応されると思ったんじゃない?で、善は急げと(笑)
セキュリティがガバガバというよりは、いろいろと不満の溜まる環境だったのではないかと。よほどの所でないと開発資料の持ち出しができないなんてところはないよ。その気になれば楽勝。むしろその程度のセキュリティも回避できない程度の素人が作ってるほうが心配なぐらい。
加盟店並の雑な扱いを、発注先システム屋にやらかしてたのでは?だから加盟店発並の苦情が世間に漏れ出す。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
わりとカジュアルに漏れる内部資料 (スコア:5, 興味深い)
社外秘とか部外秘の資料が簡単に持ち出せてウェブメディアが入手できる、という程度のガバガバのセキュリティならそりゃああいう巨大な穴の開いたアプリを作っちゃうだろうなという感想
しかしメディアが払える程度の金額はコレで儲けるつもりの反社会的勢力なら出せるんじゃないの。
サービス開始前にすでに穴の存在を察知してたということはありえない話じゃないよな。数千万は稼げるんだから多少は内部資料にカネ出すだろ。
Re:わりとカジュアルに漏れる内部資料 (スコア:2, すばらしい洞察)
内部資料って、「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx」とかでしょ。
ファイル名見ただけでお腹いっぱいになりそう。
# で、別の最終版があったり...
Re:わりとカジュアルに漏れる内部資料 (スコア:1)
先頭に【最新版】や【改訂版】をつけたがる人がいたな・・・
両方あってどっちが新しいんだよ、と思って確認したら改訂版の方が新しかった
Re:わりとカジュアルに漏れる内部資料 (スコア:2)
ドキュメントやフォルダの一覧で
新〇〇
次世代○○
○○改
○○2.0(2.1他)
という名前が並んでるのを見ると微笑ましく思えてしまう。
Re: (スコア:0)
鉄道の「こんど・つぎ」みたいな(笑
Re: (スコア:0)
こっちが最新
ほんとの最新
本家最新
元祖最新
Re: (スコア:0)
私のPCではxlsx ファイル開けないので
「7pay仕様最終版190212_copy_copy_copy_2_copy_copy_copy小林承認.xlsx.xls」 をください
Re: (スコア:0)
流石にOffice 2003はもう使ってないだろう
Re: (スコア:0)
って思うじゃん?
Re: (スコア:0)
「昔いた担当が作ったテンプレ」とかあるある
Re: (スコア:0)
マクロ使ってるシートが互換性の問題でxlsxでもまともに表示されないのは日常茶飯事。2010で互換性チェック通してから送ってください。
Re: (スコア:0)
埋め込まれてるファイル名の拡張子が xls なだけだったりするんですよね。
でも変えられないんですよね。
潰れればいいのに。
Re: (スコア:0)
マクロ使っている xlsx がちゃんと開けちゃダメでしょ。
Re: (スコア:0)
xlsxにマクロは持たせられません。
xlsmにしないと。
百度文庫で見た (スコア:0)
うちの内部仕様書上げるの勘弁してくださいよ…
Re: (スコア:0)
そんな分かりやすい名前のわけが無いでしょ。
「開発指針.xlsx」とか「なにかのガイドライン.xlsx」ですよ。
#実際にあった
Re: (スコア:0)
知人のPCに「下町」「横内」「西脇」「手越」「洗足」などのフォルダがあったの思い出した
Re: (スコア:0)
どっちが出したかですね
開発した受託会社側なのかセブン内部なのか。
セブン内部ならまだマシ
Re: (スコア:0)
もともと既存のセブン-イレブンアプリに仕様上の脆弱性があったのだけれども、
乗っ取ったところで個人情報が少し盗れる程度のメリットしかなかったところに、
お金が絡む7pay機能が実装されたので、乗っ取るメリットができた。
だから攻撃者は7pay開始前から脆弱性を把握し準備していて、サービス開始直後に
攻撃を開始できた、という噂を聞いた。
内部の協力者がいなくても、イケたんじゃないかな。
Re: (スコア:0)
どっかの自宅研究員も言ってた [twitter.com]けど、7payのチャージに必要な認証パスワード周りの仕様はサービス開始しないと公にならないので、事前に脆弱性を把握していた可能性は少ないと思われ。事前把握するなら内部の協力者が必要。
Re: (スコア:0)
頭使えば、もっと会員(カモ)が増えてからやれば良かったのに、開始直後にやっちゃったから被害者少なかったんじゃないかな。
それとも複数の組織が参入してて、他にやられる前にやろうとしたのか。
Re: (スコア:0)
こんなのは公開したらすぐに対応されると思ったんじゃない?
で、善は急げと(笑)
Re: (スコア:0)
セキュリティがガバガバというよりは、いろいろと不満の溜まる環境だったのではないかと。
よほどの所でないと開発資料の持ち出しができないなんてところはないよ。その気になれば楽勝。
むしろその程度のセキュリティも回避できない程度の素人が作ってるほうが心配なぐらい。
Re: (スコア:0)
加盟店並の雑な扱いを、発注先システム屋にやらかしてたのでは?
だから加盟店発並の苦情が世間に漏れ出す。