ringoさん
VIEW
投げ銭サービス「Osushi」がひどいと話題に
投げ銭サービス「Osushi」
なんかいろいろヤバいらしい
osushiという新しい投げ銭システム、どうもIT業の人たちの呟きを見るに「webサービスのシロウトがいきなりお金を扱うシステムを作ったせいで、あちこちガタガタでセキュリティ的にヤバい上に違法の可能性がある」ということのようで、面白そうでもしばらく遠巻きに様子見た方が良さそう。
おすし、有志によって脆弱性チェックされてるので、そろそろSQLインジェクションのチェックが始まるのではないかというつもりでTwitterをみてる。みんなだめだぞ!
挙動がおかしい
自分で自分にお茶を送れるのかー / お茶を @MintoAoyama に送りました🍵 t.co/TW3lbuQicS #osushilove @_Osushi_Love_さんから
感謝の玉子を @MintoAoyama さんに送りました🙏🍣 t.co/V25rIvi61D #osushilove @_Osushi_Love_さんから
決済処理がおかしい 二重決済も
ユーザー名に制限文字がないw
https://t.co/eYMgY7aZ9B 、404 ページのパスが /notFound なんだけど、ユーザー名を notFound にしたらプロフィールに飛べなくなったhttps://t.co/Qvw9rBjdMa
— あ (@rit_ln) 2018年2月1日
Osushi、自分のプロフィールに飛ぼうとすると、私と同じIDにした人の方のプロフに飛んでしまう…(´Д⊂ヽ
すごい ユーザーIDに制限文字もなければサニタイズもされてないので特殊文字入れたら即死、他人と同じIDにできるというミラクルな仕様だ
Osushiに登録をしてユーザー名をlinksに設定し、見事に自爆した。 https://t.co/rzIot1xpjL
(手法のツイートが散見されるので注意喚起の意味で)
Osushi、口座情報を含めた任意のユーザの情報を閲覧・編集できる問題があるので、口座情報をすでに登録してしまっている人は削除したほうがいいです。
禁止ワードもない
既存URLチェックもしてない
これはひどいwww
やはりユーザーIDの重複チェックはしていない模様
ひよこさんにお寿司を送りましょう🍣 t.co/DdTXLqxSIp #osushilove @_Osushi_Love_さんから
所々TwitterOAuthを全面的に信用した設計になってるのに何で独自でID設定できる仕様にしたんだマジ…
Osushi、プロフィール欄のemailの欄に適当な数値入れても普通に通っちゃうし、フロントでのバリデーションどころか裏でのバリデーションも無いみたいだし、アップデート出来ちゃうみたいだからNoSQLでふにゃふにゃに作られてる説濃いぞ https://t.co/QZPHCX3cYf
他人のIDになれたうえに自分のページがあいかわらず死んでいるという状態 https://t.co/y8omkxgSOL
もうむちゃくちゃ
osushiすごい。sourcemapが普通にアクセスできる場所にあるのでイケてるUIのソースコードが見放題😇 https://t.co/pG2PXSbgeI
振込システムもおかしい
「残高が1,000円以上の場合に限り、月に一度自動的に銀行振り込みを行います。
振り込み手数料として200円かかります。」ってこれ月収入200円以下だったら無限に損するのでは
Osushi、クレカで自分に現金送りつけられるのでわるい人達がわるいことしてクレジットカード作らせて現k
ハッキングしほうだい
osushi、他人のtokenを手元で作れる気がする。とりあえず、同僚のプロファイルを書き換えることに成功してしまった...
退会がない
申し訳ありません。退会のリンクが現在用意できておりません。近日中に用意いたします。
クレジットカードに関しても現在新しいカードで上書きするしか方法がありません。こちらも近日中に対応いたします。
#peing #質問箱 t.co/qJzyJSyiQi
退会のリンクないのに利用規約に「ユーザは、当社が定める方法により、いつでも「Osushi」の利用を終了し、Osushiから退会することができます」って書けるのすごない?
Osushi上でのIDがTwitterと連携してないのでvaaaaanquishでID取られてなりすましされないためにOsushiに登録し続けておかないといけない地獄に陥った
とにかくひどい
Twitterでも何かしらのページのURLとユーザー名がかぶる事があって、その場合大文字と小文字を変えることでアクセスできたんだけど、お寿司の場合大文字小文字区別してるらしくヤバイ
資金決済法違反では?
いまね、個人間送金についての関連法律を調べてるところなの。
osushiは何もしていなければたぶんアウト・・・。
@ito_yusaku しかも利用している支払い代行サービスのStripeの禁止業種にあたるからお金を引き出すときにサービス内容確認されて引き出せないエンドとかありそう... https://t.co/qXL2xwUf7k
今流行っている?osushiを投げあうというテーマのサービスですが
個人間送金に関わる資金決済法をバリバリ違反しているので(最大手のpaypalですら個人間寄付などは法律の問題で撤退してます)ご利用はおすすめしません
近日中に閉鎖されるか、サービスの大幅な変更になると思います
t.co/m1DXmjCtqk
t.co/3IwaOVBW3y
t.co/h62P9B1Feu
いくらでも情報は出てくるのにオープンを強行したのか……という恐れに近い気持ち……
運営者は下手すると逮捕されますよ……
Q:他人のIDが取れるってどういうこと?
A:実例をご覧ください
ビタワンさん(社畜ちゃん漫画の人)が@vitaone_ でお寿司のアカウントを取る
↓
そのあと別の人が@vitaone_ でアカウントを取れて、上書きされてしまう
t.co/R5pfElfV2h
ビタワン@社畜ちゃん連載中さんにお寿司を送りましょう🍣 t.co/A80LrcOcar #osushilove via @_Osushi_Love_
Osushiのサービスが始まったらしい!🍵🍣
OsushiよりOsushiを運営してる会社のメインサービスのWantaってほうが面白い。本番環境がSyntax Errorで死んでる
t.co/MMTjN4NMuB
見てない間にosushiというプロダクトのブラックボックステスト祭りが開催されているTL。
うんまあ、絶望的だからとりあえずソーリーページ出してひよこ大佐が言うように全部のトランザクションなかったことにしたほうがいいね。
コンセプトは好きなんだけど、このままだと再起できなくなってしまう。
