ringoさん
VIEW
【新情報】7pay不正アクセス サイバー攻撃で内部サーバからデータ抜かれていた可能性が浮上「第三者パスワード変更可能脆弱性は使われず」
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず…
7payの脆弱性続報(書き直し)
t.co/mTYm36wRBP
外部ID(Twitter,FB,Google,Line,Yahoo)との認証連携実装に不備が有り
パスワード無しで他人の垢にログインでき
ハッシュ化されたパスワード取得もできた
t.co/kWTFnEilP8
の情報から見ると
Emailさえ分ればログインできる仕様だった😟
#7pay の件時系列まとめ
7/1リリース
7/2不正利用報告くる
7/3不正利用確認
7/4 社長会見/新規会員+チャージ凍結/Password再設定任意email削除
7/11外部IDと連携停止
7/12外部ID連携で何が問題だったか情報漏れ
7/4-11残ってた外部IDの問題は
お金使われてなくても
PW等抜かれてる可能性有という事
7payの脆弱性情報2
t.co/5JsynmwJtK
・他で一切使ってない専用のパスワードをログイン/チャージ別々設定していたが被害に遭遇
・パスワード変更されないからフォーム問題が原因でない
・専門家は内部のサーバーから情報が抜き出されたと考えてる
穴がありすぎてどれが原因か、最早泥沼..😖
7pay「組織的攻撃の可能性」専用パスワードでも被害 t.co/dC4zPZPfS2 「大勢いる会員の中からクレジットカードを登録している人を絞り込むにはサーバーに保管された情報が必要で、何者かが内部に侵入したと考えるのが自然だ。高度で組織的なサイバー攻撃が行われた可能性がある」
そもそも原因もまだ公開されてないのに、NHK始めメディアがやたら情報漏洩方面のサイバー攻撃強調しすぎな状況に違和感を感じるのはあたしだけかしら? (´・ω・`)
そもそも16桁手帳に書いて保管とか、PWリストに載ってそうなパターンかも、という疑念も残るしね (´・ω・`)
t.co/uZASMqU9hC
7pay、一人で狙うわけないだろう…、
「組織的サイバー攻撃の可能性」って…いまさら…
7pay「組織的攻撃の可能性」専用パスワードでも被害
何らかの方法で内部のサーバーから情報が抜き出されたと考えられるということです。
こわ! t.co/KsSUae83If