7pay、ソースコード漏洩か、何者かがGitHubで大公開
https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay-handson1.jpg
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。
セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。
しかしここへきて、これまでとは異なる、別の問題が浮上してきた。
7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。
事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay_2_omni7_-1-1.jpg
(後略)
[元スレ]http://hayabusa9.5ch.net/test/read.cgi/news/1563957770/
クソワロタwww
みんなで書き換えて良くしてねってことか?
いいよ^_^
「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」
7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさん(仮名)は、そう言ってソースコードの実物を取材班に見せた。
ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。
外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。
ユースケさんもそんなうちの一人だった。
しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。
一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
同ソースコードは、その週のうちに削除されている。
このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。
https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg
ユースケさん自身はソースコードの内容詳細までは解析していない。
しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。
削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。
事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。
ソースコードが公開されているからopenSSLを使うのは危険だ
とでも言うつもり?
OSSじゃなく内部だけで使うつもりでやらかしてんの昔から結構いるぞ
公開目的でないなら外部のGitサーバなんて使わんだろ
そういう常識が通用する相手かどうかはわからない
中の人「組んでるコードがうまく動かない…」
外の人「どんなコードだよ」
中「えっと、こんな感じ」
外「一部分だけ抜き出されても分からん」
中「待って、見られるようにするから(ポチー)」
が真相と見た
チャージするためにクレカ情報登録しちゃってるんだけど
全部とか総括的とかそんな感じの意味(‘ω’`)
ロボコップのとこだよ
警備ロボで有名
ご動作して味方を撃ち殺す安心設計!
ポイント下げるな
同感
毎回ヘンテコなアプリ起動してモタモタすんの嫌だわ
まあそうやろねwww
これはPR出したくなるわあ
久しぶりのバーボンハウスわろた
