【新情報】7pay不正アクセスサイバー攻撃で内部サーバからデータ抜かれていた可能性が浮上「第三者パスワード変更可能脆弱性は使われず」 : まとめダネ！

【新情報】7pay不正アクセスサイバー攻撃で内部サーバからデータ抜かれていた可能性が浮上「第三者パスワード変更可能脆弱性は使われず」

スマホ決済サービスの「７ｐａｙ」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「７ｐａｙ」の情報が何らかの形で抜き出されていた可能性があると指摘しています。

出典：７ｐａｙ「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース

７ｐａｙ「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース

https://www3.nhk.or.jp/news/html/20190713/k10011992571000.html

スマホ決済サービスの「７ｐａｙ」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず…

創@CEO&CTO/欧州長期旅行の為Tech系と旅行系交互に投稿中@hikarine3

7payの脆弱性続報(書き直し)

t.co/mTYm36wRBP
外部ID(Twitter,FB,Google,Line,Yahoo)との認証連携実装に不備が有り
パスワード無しで他人の垢にログインでき
ハッシュ化されたパスワード取得もできた

t.co/kWTFnEilP8
の情報から見ると
Emailさえ分ればログインできる仕様だった😟

2019.07.13 11:00:01

創@CEO&CTO/欧州長期旅行の為Tech系と旅行系交互に投稿中@hikarine3

#7pay の件時系列まとめ

7/1リリース
7/2不正利用報告くる
7/3不正利用確認
7/4 社長会見/新規会員+チャージ凍結/Password再設定任意email削除
7/11外部IDと連携停止
7/12外部ID連携で何が問題だったか情報漏れ

7/4-11残ってた外部IDの問題は
お金使われてなくても
PW等抜かれてる可能性有という事

2019.07.13 13:30:09

創@CEO&CTO/欧州長期旅行の為Tech系と旅行系交互に投稿中@hikarine3

7payの脆弱性情報2

t.co/5JsynmwJtK
・他で一切使ってない専用のパスワードをログイン/チャージ別々設定していたが被害に遭遇
・パスワード変更されないからフォーム問題が原因でない
・専門家は内部のサーバーから情報が抜き出されたと考えてる

穴がありすぎてどれが原因か、最早泥沼..😖

2019.07.13 22:54:53

大江昇@TKDOMO

７ｐａｙ「組織的攻撃の可能性」専用パスワードでも被害 t.co/dC4zPZPfS2　「大勢いる会員の中からクレジットカードを登録している人を絞り込むにはサーバーに保管された情報が必要で、何者かが内部に侵入したと考えるのが自然だ。高度で組織的なサイバー攻撃が行われた可能性がある」

2019.07.13 21:38:31

かるかん@Transalp400v

そもそも原因もまだ公開されてないのに、NHK始めメディアがやたら情報漏洩方面のサイバー攻撃強調しすぎな状況に違和感を感じるのはあたしだけかしら？　(´・ω・`)

そもそも16桁手帳に書いて保管とか、PWリストに載ってそうなパターンかも、という疑念も残るしね　(´・ω・`)

t.co/uZASMqU9hC

2019.07.13 23:00:34