7pay、ソースコード漏洩か、何者かがGitHubで大公開 (261)
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。
セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
(後略)
https://www.businessinsider.jp/post-195187
2【TOKUMEI】2019/07/24(水) 17:43:38.84ID:96hVro9J0
■「オムニ7アプリ」のソースコードがGitHub上で公開されていた?
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさん(仮名)は、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。
しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。
一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。
このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさん(仮名)は、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。
しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。
一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。
このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
Prevateリポジトリにするのを忘れた?
24【TOKUMEI】2019/07/24(水) 17:49:10.98ID:5cqGAK9Y0
GitHubもいいけどギフハブはどうなったんだよ
闇の秘密結社野放しかよ
闇の秘密結社野放しかよ
nanacoは大丈夫なの?
チャージするためにクレカ情報登録しちゃってるんだけど
チャージするためにクレカ情報登録しちゃってるんだけど
ガバガバかよ
一回3万円チャージでたばこや電子たばこめいっぱい買って
指示するやつと実際購入して運搬役に渡したり反応早すぎ
3万円も運営側に不正使用通知が出ないきりぎりの金額だったりして
指示するやつと実際購入して運搬役に渡したり反応早すぎ
3万円も運営側に不正使用通知が出ないきりぎりの金額だったりして
28【TOKUMEI】2019/07/24(水) 17:50:54.50ID:5cqGAK9Y0
>>27
どうせ客のクレカ情報だし
どうせ客のクレカ情報だし
33【TOKUMEI】2019/07/24(水) 17:52:59.68ID:7h/vALCI0
>>28
さすが本部だ…
さすが本部だ…
PayPay最悪だわ
漏洩じゃなくてgithubで公開されてるある種のlibrary流用してるような気がする
58【TOKUMEI】2019/07/24(水) 18:05:01.43ID:d/zwjJY30
セブンペイ社長「…GitHub?…」
62【TOKUMEI】2019/07/24(水) 18:08:44.62ID:4YRi0QcS0
ギフハブぽい
アスカの予言これじゃね?
アスカの予言これじゃね?
セブンのIT系部門にはバカと無能しかいない事がすでに分かったからな
サーバー側のソースあれば全裸みたいなもんだしな。大丈夫かよ(´・ω・ `)
中国人とかベトナム人に丸投げするからこうなる
46【TOKUMEI】2019/07/24(水) 17:58:53.75ID:V/cLHHKS0
ナナコに戻せ
ポイント下げるな
ポイント下げるな
104【TOKUMEI】2019/07/24(水) 18:51:18.85ID:n/vFJZ1G0
あれやろ昔パチンコで大当たりする裏技仕込むやつやろ
この分だと醤油コードも危ういな。
まだおにぎりもらってないのに(´;ω;`)
名前変えるしかないね、ナナコペイとかに
igaponって無能のあいつかも…
124【TOKUMEI】2019/07/24(水) 19:25:03.59ID:sJ/cr2MG0
ソースコードは設計図じゃねぇ!
>>124
仕様書でも無いし、ドキュメントでもないよね・・・。
仕様書でも無いし、ドキュメントでもないよね・・・。
ASKAさんの懸念が現実のものに成ってしまったか。。。
ギフハブオソロシス
ギフハブオソロシス
ちゃんと作ってたらソースコード公開したところで安全だが?www
188【TOKUMEI】2019/07/24(水) 23:12:57.55ID:wt/Y0I/00
あかんw
188【TOKUMEI】2019/07/24(水) 23:12:57.55ID:wt/Y0I/00
208【TOKUMEI】2019/07/25(木) 00:47:20.65ID:5QmW6ppe0
ソス見たい
213【TOKUMEI】2019/07/25(木) 06:52:15.24ID:5W9ZpvsN0
間違えてパブリックに上げたのか
>>227
業界はどうであれ完成したモノが設計書、設計図になり得ないのはあたりまえじゃね?
大工の世界で完成した家が設計図になるかといったらならないでしょ?
無計画にできあがったモノが設計図になるという世界があるなら、自分が無知だったわ…
業界はどうであれ完成したモノが設計書、設計図になり得ないのはあたりまえじゃね?
大工の世界で完成した家が設計図になるかといったらならないでしょ?
無計画にできあがったモノが設計図になるという世界があるなら、自分が無知だったわ…
みんな、コーナンpay使おうぜ