セブンペイ不正利用で対策 全パスワードをリセット
コメント
注目のコメント
先の攻撃があったのはパスワードリセットの脆弱性だという見方が多かったものの、リセットメールが被害者の登録アドレスに届いていないなど不自然な点も多い。
さらにOmni7のAPIからはそのページのレンダリングには明らかに必要のないDBのカラムがむき出しでJSONで帰ってくる仕様になっていた。
加えて外部サービスを経由したログイン処理にも問題が多く存在し、リクエストボディのIDを他人の物に変えるだけでなりすましログインが可能だった。
さらにはソースコードの流出。
DBに保管されているパスワードのハッシュにもソルトがなく、極めて弱い暗号化レベルだったと。
総合的に判断すると攻撃者は外部サービスログインの機能不備から他人のアカウントに侵入し、カラムを全部返してくれるOmni7のAPIから対象者のDBをダンプ。
その後脆弱なパスワードハッシュを総当たりで解読して平文のパスワードを取り出し、正常系のログインでチャージや決済などを実行。
この方法なら正規のユーザーにはパスワードリセットのメールは飛ばずに不正利用が可能ですね。
こんな状況なのでもっと根本的な問題があってそこからの攻撃であってもおかしくないですがOSINTレベルでも容易に攻撃手法が想像できます。
そんな感じなので理論上は全IDとパスワードの組み合わせが平文で流出した可能性があるとの判断だったのでしょう。
であればその中にEEA域内のユーザー情報が含まれていればGDPR違反ですし在日米軍の情報が含まれていればCUI保護の観点から問題になります。
いずれにせよ同社は電子証拠の証拠能力について言及すべきです。
今捜査に使用されている(おそらくEncaseとかで読み込んでいる)データは信用なりません。
そして信用ならない電子証拠によりこの事件が処理されるのは被害者が圧倒的に不利でしょう。
電子証拠偽造の簡単な説明はこちら
https://crs-japan.org/news/nishio-article-tech-trap/岩下直行先生が「予言」した通りの展開ですね。
編集部記事で、「セブンペイの問題の本質は7iDにある」とおっしゃっていました。▼▼▼【真相】セブン・ペイが犯した「3つの初歩的ミス」( https://newspicks.com/news/4040154 )妥当な対応だと思いますが、ユーザー心理的にこの対応がポジティブに取られられるかどうかですね。
また、「抜け漏れ」があって、さらに攻撃されないかも心配です。私自身はしばらくは物理カードのナナコで十分かなって思ってしまいます。
