potatoさん
VIEW
セブンネットショッピングは以前デモ用ソースコード流出などセブン系は前科あり 昔からセキュリティが最悪
セブン&アイの技術者って、、、
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 t.co/5kVeUiWhDo
セブンペイの件、色々と気になることがある。まず悪用された脆弱性がパスワードリマインダーなら、脆弱性スキャナで検出できるような問題ではないので犯人はスクリプトキディではない。
その2、攻撃者はターゲットを綿密に練っていた可能性がある。セブンペイはサービス開始から間もないが、セブン系には前科(しかもグダグダ)がある事は昔からセキュリティ業界にいる人なら割と知っており「狙い目」だった。t.co/cePMv2boSK t.co/R8dqZnSJw8
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。
デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。
同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。
出典: セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 - ITmedia NEWS
「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。
あと記者会見で二段階認証についての質問が出たのは個人的に大喜びです、これで二段階認証の実装を渋る人々に「なにか起きたら記者会見で突っ込まれますよ」と言えるw ここまで来るまで長かったなあ。
セブンは系列?のセブンネットショッピングが数年前にクレカ流出
10年くらい前にはXSS祭り&ソースコード流出(という名の公開)してたはずなのに、そこからセキュリティ面でまるで成長してない気がする
セブングループ、昔からソースコード流出とか個人情報流出とかしょっちゅう握りつぶしてきたけど、これだけSNSが普及するとそれも難しいか…
今回はアプリだから違う開発会社だろうけど
セブンって昔もhttpdから見えるとこにSVNディレクトリ置いちゃってソースコード一部流出とかやってたよな…
セブンペイのアレで(元からヤバいのは知ってた)オムニ7の脆弱性がハッキリわかったので、とりまクレジットカードの情報は削除しました
数年前に、「あなたの個人情報が流出した可能性があります」ってメールが来たの忘れんからな、オムニ7(の前身)
