【個人情報流出】7pay不正アクセスされた人でオムニ7利用者は個人情報まで流出していることが判明「フルの住所・電話番号・子供の生年月日まで」
7pay不正アクセスと同様にオムニ7もやばいのですが、7payばかりが注目されてオムニ7のやばさが表にでていない
更新日:
ringoさん
VIEW
7pay不正アクセスされた人でオムニ7利用者は個人情報まで流出していることが判明「フルの住所・子供の生年月日まで」
7payアプリを利用すると、外見上では表示されませんが、技術者なら内部的な通信データとして以下のようなデータが取得できるようです。
そのデータには、番地までのフルの住所や、電話番号、メールアドレス、アカチャンホンポに登録した子供の生年月日まで含まれていて、ハッカーはこの情報を容易に取得できました。
外部に表示されていないので話題になっていませんが、こっそりとこれらの個人情報がハッカーたちの手により不正に入手された可能性があります。
7payで登録、セブンイレブンアプリで表示可能な住所は都道府県のみですけど、オムニ7の利用者だったらフルの住所が登録されているし、アカチャンホンポがグループにある関係で子供の氏名、生年月日も登録されているし購入履歴も参照できる
7payアプリでは「東京都」など都道府県しか表示されないが、内部的なAPIレスポンスではオムニ7に登録しているフルの住所、画面上には無い電話番号も返している。またオムニ7のサイトではログイン履歴を確認できる機能があるが7payアプリのログイン履歴は記録されない(住所電話抜かれても気付けない) https://t.co/KPhZP7gmcD
referAppMemberInfo の sevenAndIdMstInfo 以下に password として 128桁のハッシュが返ってきてて何に使っているのか分からなくて謎(アルゴリズムはすぐにはわからなかった、多分salt付きSHA512とか) 使途はマジでわからないので、よくあるDBカラム殆どそのまま返している系じゃないかと推測している
アカチャンホンポだとAPIパスがrefer"Ah"AppMemberInfoで、子供の名前と誕生日が含まれている(アカチャンホンポアプリはネイティブで会員情報表示があったので、このJSONは実際に使われてる)
ヨーカドーやセブンアプリに発行されたtokenでもreferAhAppMemberInfoAPIにURLを変えれば子供の情報が取れる https://t.co/gNeuiRdwv1
変に拡散されて意図が伝わらなくても困るので解説わざわざ書くけど、これは「脆弱性が残ってるぞー」みたいな指摘ではなく「止血が出来ていない」ことに対する指摘。7payばかり注目されて、その結果、対応の優先度も間違える(あなたたちがAPIレスポンスを読まないせいです)
t.co/djesshEdD1
t.co/zV7IaqchI6 「ログイン履歴の確認はこちら」と書いてあるが、アプリのログイン履歴はオムニ7のサイトの機能では表示されず、確認できない。
単に個人情報閲覧されただけだと利用者からは気付く手段が無く、サービス運営者が不正アクセスの状況を調べなければ全貌が分かりようがない。
個人情報が漏洩しても「適切にパスワードを管理しなかった利用者が悪い」という理屈が通用するのは「サービス側に瑕疵が無い」という前提での話だ。パスワードリセット機能には実際に脆弱性があったし、7pay不正決済ではリセットメール届いてないパスワード使いまわしてないと主張している人もいる。
これが決済だけの問題なら、止血したのだし利用できるのは自社の物理店舗だけだし、実際出し子捕まったりしてるし、好きにすりゃ良い。クレジットカードも保険、補償とセットで動いている。でも実際に起きてるのは「個人情報漏洩事故が起きてます、不明な手口で利用者が自身で気付く手段もありません」
(もちろん内部からじゃないと分からない情報もあるだろうし、何が最適解かなんて軽々しく外野から判断できることではないが) 少なくとも、この状態でメンテ入れないのは、自分にとっては異常なことに感じられる。全面メンテが無理なら無理で、ログイン通知も住所マスクも金曜までにできなかった。
オムニ7全面メンテとか「安全性が確認されるまで再開しません」とかやったら影響でかくて大変だろうし、そんな条件にしたら宅ふぁいる便みたくなりそうだけど、せめて、何かあった時に対応が遅れる週末や夜間だけでもメンテにしておけば、犯罪者や暇になったバグハンターのおもちゃにされるのは防げる
「Suicaを気軽に止めれるか?」などと言ってる人いたけど、自社店舗でしか使えない開始3日目のスマホ決済が変にインフラとしての矜持みたいの持たなくていいから。ネットスーパーが使えなくなって老人死ぬとかはあり得るかもしれないけど、ほんとに死ぬ?そこまで代替が効かないサービスか?
自社のサービスは重要インフラと、誇りを持つのはまあいいが「代替が効かない」「急に止めたら利用者が死ぬ」みたいなサービスは、そもそもあってはいけないし、冗長性は社会全体で確保すべき。何か異常なことが起こっているときにメンテ入れることを躊躇するな、あとインフルエンザのときは会社休め。
@poyopoyochan 一度、アカウントが破られてしまう業が知られてしまうと、即座にシステムを止めない限り二段階認証を乗っけるのは至難の業。7pay, 7iDのミスは今もシステムを動かし続けているという状態だから、アカウントと個人情報が盗まれまくっている状態。二段階認証以前の個人情報駄々洩れ状態。
#7pay の不正利用対策で、二段階認証 を導入してクレジットカードチャージを復活させたら、7iDをベースにする限りは同じ問題が発生するのは明白。セブンイレブンは気付く能力すらなく発表しないけど、オムニ7、7iDは今も個人情報垂れ流しで何万人の情報が洩れているのかわからない位なの。
7payはセブンイレブンアプリ内の機能で、今は7payのアプリ内新規登録が停止されてるだけで、7iDを持ってたらアプリにはログインできるし、オムニ7側にはログイン履歴は残らない。7payではなくオムニ7のID基盤で問題が起こっているため、パスワードリセット悪用で金は抜けないが個人情報は抜ける状態 https://t.co/tJXXkgvjRQ
@QpYBpVN6HlJXti3 @greenflowers19 この前,詐欺の手口特集やってましたが,7payに限らず,電子マネー(キャッシュレス)はレジでの支払いの際は,レジの担当に気をつけないと,偽のバーコードやQRコードで,個人情報や電子マネーをごっそり盗まれる手口が増えてるそうです。ポイントでの支払いも同様だそうで。電子社会は簡単に詐欺に遭う。
うわぁ、7payだけでなくOmni7もアカチャンホンポも個人情報ダダ漏れになる脆弱性あるじゃん・・・・
#7Pay でお金取られた人はお金だけじゃなくオムニ7に登録してるあらゆる個人情報抜かれてる可能性があるので気をつけような! というありがたいお話。 t.co/AOP8aCVeP0
これはつまり7payを利用した人はお金をとられた人は利用履歴からわかりますが、個人情報をとられた人は判断する術がないということです。この状態でいまだにサービスが継続されているため、いまなお個人情報は漏れ続けています。
コメントを投稿する