7pay、ソースコード漏洩か、何者かがGitHubで大公開
■ このスレッドは過去ログ倉庫に格納されています
https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay-handson1.jpg
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。
セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay_2_omni7_-1-1.jpg
(後略)
https://www.businessinsider.jp/post-195187 ■「オムニ7アプリ」のソースコードがGitHub上で公開されていた?
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさん(仮名)は、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。
しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。
一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。
このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。 最初から言われてただろ
穴が開いているから
システム全部捨てろって GitHubにあるならOSSじゃねぇの?
ソースコードが公開されているからopenSSLを使うのは危険だ
とでも言うつもり? 公開設定間違って公開しちゃってた(*ノω・*)テヘ そもそも、オムニなんて始めた時点で
おかしいのが組織の上にいるじゃんか 開発にgit使ってたけど、こんなところにわざわざアホが公開設定してたってこと? ナナコがあったのに、なんちゃらペイなんかやるからだ >>11
公開目的でないなら外部のGitサーバなんて使わんだろ 開発部隊の下請けが中国だったとかそういう話か?
なんとまぁ
それでサービス開始と同時に脆弱性狙われてんのか スニーカーズみたいなハッカー集団が
本社ビル横にバン乗り付けてハッキングしてんだろ オムニ7って滅茶苦茶使いにくいよねぇ〜、デニーズのテイクアウトの申込みで
何度か使ったけど、見たいページにたどり着くまで毎度毎度すげーストレス。
あんな風に作る方が逆に難しいんじゃねーのってインターフェースw GitHubもいいけどギフハブはどうなったんだよ
闇の秘密結社野放しかよ nanacoは大丈夫なの?
チャージするためにクレカ情報登録しちゃってるんだけど >>18
そういう常識が通用する相手かどうかはわからない このままダラダラ続けて傷口広げるより中止した方がいいんじゃないのか 一回3万円チャージでたばこや電子たばこめいっぱい買って
指示するやつと実際購入して運搬役に渡したり反応早すぎ
3万円も運営側に不正使用通知が出ないきりぎりの金額だったりして >>18
organization設定で使う企業も多い
わざわざエンタープライズにする必要なかったりする ソースコード漏洩するとどうなるの?
とりあえず、7payについて、payの前にセブンイレブン関係の何かが流出してるハズなのは最初から指摘されてたよね >>35
全部とか総括的とかそんな感じの意味('ω'`) >>46
同感
毎回ヘンテコなアプリ起動してモタモタすんの嫌だわ 漏洩じゃなくてgithubで公開されてるある種のlibrary流用してるような気がする いい加減
設定図にあたるソースコード
ッテ言い回しやめろよ >>9
githubにあるものは公開レポジトリだけじゃないよ。
企業機密のコードも登録されてる。非公開でね。 >>4
開発にチャイナが関わってて意図的に漏らしたんじゃね? どうせデータあたりが安い中国の下請けに丸投げして
抜き取られたんだろ? >>11
中の人「組んでるコードがうまく動かない...」
外の人「どんなコードだよ」
中「えっと、こんな感じ」
外「一部分だけ抜き出されても分からん」
中「待って、見られるようにするから(ポチー)」
が真相と見た >>34
7payはメールアドレスと氏名というほぼ公開情報があれば
誕生日を設定していないユーザーは乗っ取り可能で
追加で誕生日を知っていれば誰でも乗っ取り可能だった セブンのIT系部門にはバカと無能しかいない事がすでに分かったからな もうなんちゃらpayなんて使うのはアホだな
無秩序に数ばっか乱立しててメリットもクソもない 速さだけ重視で糞みたいなデベに丸投げしたんだろ
社長があんなアホなんだし サーバー側のソースあれば全裸みたいなもんだしな。大丈夫かよ(´・ω・ `) 下請けの下請けの下請けの下請けあたりが中国人だっただけだろ これセキュリティー弱いよと警告してくれたな
サンキュー うち(二次受け)が下請けにぶん投げた商品
下請けがそのまま中国にぶん投げて、中国で同じ商品が出回った事件とかあったな〜
中国のとある都市で、市内に歩いてる人が凄まじい確率で
○ンキホーテのビニール袋を持ち歩き→なぜかそのへんの店が使ってた
厦門空港のお土産屋で買い物すると
日本の某有名水族館の紙袋に商品入れてくれて大爆笑
困難普通だからな〜w どこに問題があるか分からないからみんなにコードレビューしてもらうぞー >>34
スポーツで、相手のサインや戦術が丸わかり状態 最近のフランチャイズの状況や今回のポカを見るとこれからのセブンは衰退の一途だろうな ソースコードの問題じゃない
セブンの要求してきた外部ID連携の仕様が腐ってるのがそもそもの問題
仕様通りに作ってサービスインしたんだよ スクリーンショットとかとぼけてるけど
実際は全部ダウンロード済みだろこいつ >>87
プログラムきっちり組んであればお漏らししないだろうな
じゃなきゃオープンソースなんて成り立たない 漏洩したソースコードを使用したという逆転の発想はない? オープンソース厨「オープンソースになったから安全になった」 >>9
OSSじゃなく内部だけで使うつもりでやらかしてんの昔から結構いるぞ >>1
みんなで書き換えて良くしてねってことか?
いいよ^_^ >>46
実際これやらんと離れた客戻らんだろ
まあ離れた俺はpaypayキャンペーンで戻ったけど
今日も1000円バック当たったわ >>83
メインフレーム時代に四谷にあったセンターを見学してPOSシステムの開発現場とかも
見せてもらったけど当時は世界最高の流通業のシステムと呼ばれてたんだがなぁ >>35
ロボコップのとこだよ
警備ロボで有名
ご動作して味方を撃ち殺す安心設計! あれやろ昔パチンコで大当たりする裏技仕込むやつやろ おいおい何でまだこんなもの使わせてるんだ?
今すぐ破棄処分だろこんなシステム
え?マジでやらないの? オムニなんとかって役員か誰かの子息がやってたやつ? 単にコピペ元のコードか、同じコピペ元のコードを利用しただけじゃね?
無能土方は動けばいいから、適当に検索してコードコピペするぞ >>110
社長が二段階認証すら知らないような
IT知識完全にゼロな
全世界に馬鹿を晒した馬鹿会社だぜ??? >>18
> >>11
> 公開目的でないなら外部のGitサーバなんて使わんだろ
でもAWSのクレデンシャル書いたjsonファイルをプッシュするアホかなりおるよ ユースケは猫の首輪にmicroSDカード付けた理由を教えろよ 時間がなくてこのソース使ってアプリ作ったんじゃね? どんどんセブンだけ取り残されていくな
いくら商品開発に力入れてもその商品を買えないんじゃ誰も来なくなるぞ private設定を忘れたん?
お金が絡む大企業の基幹システムなのに コードの問題じゃなくロジックの問題だからな
入力と認証の目に見える部分のやりとりだけ洗い出しても見つかる穴だし _人人人人人人人人_
> 完全なる死! <
 ̄Y^Y^Y^Y^Y^Y^Y ̄ Nanacoあるのにどうして7payとかやるのか謎 ITドカタ派遣テロやな
人件費をケチるという事はこういう事なのだ 外注費ケチったから下請けはサーバー代をケチってギトハブ使ったんだろうな コンビニオーナーやってて、経営不振で首吊りした親を持つITドカタが開発を担当してて、復讐のために漏洩させたって推理小説に出てきそう セブンは一番nanacoブランドが傷つかない方法で
nanacoポイントの倍率下げられたな 発注者がシステムを全然わかってないからまともに外注することもできないんだよ また使えんのか?
1000円チャージしたらコーヒー1杯タダになるキャンペーンどうしてくれるの? いやソースが漏洩することでセキュリティ的にヤバイってそれ設計クソじゃん
リポジトリに鍵コミットとかアホなことやってない限り
ソース漏れてもセキュリティ関係ないでしょ 少なくとも開始前から何かが漏れてるのはほぼ確定だろう
他にも問題点はいくつかあるみたいだけど、短期間で被害が出るとなるそれしかない ルークがスプーンでパスタを食べてたんだ。
そこにヨーダがやって来て、
「ルーク、フォークを使え」
これが語源らしい。 数人で穴がないか調べるより100万人で調べたほうがいいだろ
伽藍とバザールってやつ OMCならセブンでポイント3倍やで
ナナコもペイもいらん >>124
仕様書でも無いし、ドキュメントでもないよね・・・。 ていうかオープンソースより国内企業の内製品のほうが総じて高品質なソース
みたいな印象を漠然と抱いてる奴って結構多いのなw ASKAさんの懸念が現実のものに成ってしまったか。。。
ギフハブオソロシス >>30
その方がいいかもな。セキュリティの本にソースや暗号化の手法が公開されてても破れないのが強固なセキュリティだと書かれてあった。 コミッターのメールアドレス見たかったなー。どこの会社か分かるでしょ。 まずオムニっていう名称がキモい生理的に無理
ここまで名前で損するネーミング付けた企画発案者てどれだけ権力あるん? >>175
その昔、オムニボットという家庭用ロボがあってだな… 18年前から実用化されているICチップ方式の安心なこと…
ここまで大規模な悪用も広まってないし
現行のほぼすべてのスマホ端末で使えるのに
特亜に推されて始めたQR方式がことごとくこんな状況でははなしにならんよね >>3 5chでバカ共が騒ぐ時は釣りスレのパターン >>166
製造業の現場は様々な検証を経て材料や部品の
情報とともに全部品の形状を描いた設計データ
から最終品を作る。それを設計図と言うんだよ。
そしてその設計図は最終的な要件そのものであ
って、何らその製品の内容を説明しない。
スペックシートや説明書、検査要件は別な訳。
そういう設計図がずっと流通してきた製造大国
の日本なら、環境依存のヘッダを分離した
コンパイル前のソースを設計図と言ってもいい
んじゃないかな。
ところであなたは設計図ってどういうものだと
思ってたの? >>173
ブロックチェーンは破られてないけど、
ブロックチェーンの思想に反し、取引所
にポイントを預けてる連中は、取引所の
陥落でポイントを盗まれてる。
OSSで解析されるのは機械的な用件だけ
じゃない。運用要件が盗まれるのが問題
なんだよ。
あんたも聞いたことあるだろ、大戦時の
ドイツのエニグマってやつ。あれが破ら
れた原因は、国内の反動者がエニグマ
本体をイギリスに持ち出したからだよ。 github使えば、プロジェクトのみんなが気軽に在宅で開発できるじゃん ちゃんと作ってたらソースコード公開したところで安全だが?www PMスゲー馬鹿だなぁ
トレンド乗ったつもりだったんだろうがwww >>7
納期早くて異常に安いところ使ったんだろうな >>184
こういう何も理解してないことを自覚してない
人は何れ錯誤でろくでもないことをやらかす。 >>184
いやセキュリティ面で何使ってるか丸和かりだから公開しちゃダメだろ
能無しさん? >>183
普通はメンバー指定の非公開設定でリポジトリ作るだろ
ど無知かよw AIもgithubも使ったことない人が間違ったこと
得意げに書いて、それ否定するとキレるニュー
速のこの雰囲気ってなんなんだろうね。 >>187-188
openSSLが危険だとでもいうのか 5〜6年前に7netでユーザー情報が漏れた時もセキュリティに問題あったって話題になってたような。
今回のpayやオムニの件で尚更セブン系は使う気にならなくなった。 >>193
そういう話じゃない。
業務レベルの実装とプロトコルが同じと言うならそれは違う。 ソースコード公開されてる=危険ならLinux使ったシステム全部危険なんじゃないですかね >>196
ブロックチェーンの特性を無視して自社口座預かりの体制で始めた交換所がなんで狙われたか考えよう。
ブロックチェーンのプロトコルのセキュリティは未だ破られてない。 >>196
セキュリティに何使ってるかは
ソース公開しない限り分からんだろ
馬鹿なの? 他人でも知ってるような情報でアカウント乗っ取れるような認証方法の設計段階でのミスであって
ソースコード公開されてるかとか関係なくね? お前らが使ってるfirefoxやらもソースコード公開されてんぞ >>188
なにを使ってるかバレたらダメなつくりの時点でゴミ
とくにこんなスマホのクライアントなんて
ソースレベルで隠してもほとんと何の意味もないくらい簡単に解析されるだけ >>197
おもしろいよ!
ずっとPCにかじりついてる漫画なのかなーツマンナサソ…と思いきや、結構スケールでかいw 警察や世界政治も関わってくるからねぇ どこだよ、開発したのw
間抜けな所(邪悪なのか?)には
絶対頼みたくないから知りたいくらい これでなんとかペイの乱立も収束に向かってくれるといいんだけどなあ >>208
バレなきゃ使えるだろ
知ったか指摘されて悔しいってかバーカwww むしろオープンソースにした方がセキュリティが向上しそう >>181
7payのアプリのソースコードだろ?
ソースコードは設計図にならないわな。
顧客向けの設計図なら用件定義書とか外部設計書
開発部隊向けの設計図は↑のものプラス内部設計書やら詳細設計書
それら無くしてソースコードが設計図なんていったら、仕様のない謎プログラムとして品質確保できず品質部門でリリースの許可は出ないな。
まれに、ソースコードしかなく、そこから設計書をおこすことはあるけれど、そうしたらおこした設計書が設計図になる。 ナナコ使ってる人は見るけどこれ使ってる人いるのかな >>222
それは設計書で設計図でないよ。
IT屋さんの用語じゃないんだろうね。 なんだろう、土地家屋の管理に地盤でなく土壌の話されたような感じ ここでソースコードは設計図にあたるかでケンカするのがいかにもプログラマ的でよい >>210
ああ播磨灘から随分画風変わったなぁと思ってたら
息子なのな
ちょっとびっくりした >>227
業界はどうであれ完成したモノが設計書、設計図になり得ないのはあたりまえじゃね?
大工の世界で完成した家が設計図になるかといったらならないでしょ?
無計画にできあがったモノが設計図になるという世界があるなら、自分が無知だったわ… >>231
環境依存のないスクリプト環境しか使ったことがないんだなw >>232
機種依存がどうこうじゃなく、なんの計画もなく作ったモノが納品できるような企業で仕事をしたことは無いな ソースそのものが動くゲンブツというほうが無責任だと思うけどなあ、、 あり得ねえわw
人の財産預かるものをオープンソースww
死ねレベルの失態 セブンペイの社長より桜田前大臣のほうが優秀に思えてきたw >>200
リバースエンジニアリングすりゃわかる。
Androidならソースまでデコンパイル可能。中身見られて困るようなのはセキュリティ対策がヘボ。 >>236
大手銀行のシステムでもオープンソース使いまくりだと思うよ 未だに被害額すら公表されていないように思うけど報道どうなってるの
当初の額は適当な推計でしょう(同じ日に一定額入金して同額を出金した人の
額を足し合わせただけとか。実際の被害者とか被害額の話ではない) >>239
そんなの知識有れば誰でも知ってるよニワカ知ったかちゃんwww
無駄な手前しなくてもソース全公開してるなら
ログインパスワードだって解析可能だから
そっち攻撃するわな
ど無知ちゃんwww だから
どんな有名企業に依頼しても
実装は派遣なんだから、クズやうんこしかいねんの ではソース公開してるLinuxシステムのrootパスワードを解析してください >>4
在日中国人で構成されたそれ専門の集団がいるからな
カード詐欺集団の1部門だろ そもそもスマホなんてアプリ以前にOSがオープンソースの塊なんだよなぁ・・・ 公開したソースコードは7Payアプリの方じゃ無くて大元のオムニ7アプリの方
元々、今回被害に有ったのはオムニ7使ってアカウント登録してた人たち >>1
スレタイ詐欺のゴミクズは今すぐ死ねよ
今すぐに速やかに死ね ケチな割引にたかるからこうなる
利便性でfelicaにまさるものはない 設計図うんぬんの話に既視感があったのは日経の「設計図共有サイト」の件のせいだな
ID:y96OT5Vz0は普段すげー早口で喋ってそう オムニは韓国語?
セブン&アイHDてチョン会社なの? 他人が書いたソースコードもらっても何も分からんわ。
東大の入試問題を事前にもらっても東大に合格できる気もしないし。 >>257
オムニバスって聞いたことない?
オムニは「全ての」「雑多な」とか表す英語だぞ ■ このスレッドは過去ログ倉庫に格納されています