7pay、ソースコード漏洩か、何者かがGitHubで大公開


1 : ツームストンパイルドライバー(北海道) [CN] 2019/07/24(水) 17:42:50.00 ID:96hVro9J0

https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay-handson1.jpg

7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。

セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。

しかしここへきて、これまでとは異なる、別の問題が浮上してきた。

7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。

事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。

https://assets.media-platform.com/bi/dist/images/2019/07/23/7pay_2_omni7_-1-1.jpg

(後略)

https://www.businessinsider.jp/post-195187



[元スレ]
http://hayabusa9.5ch.net/test/read.cgi/news/1563957770/


102 : ジャンピングカラテキック(愛知県) [JP] 2019/07/24(水) 18:43:05.08 ID:yUmeRP9+0

>>1

クソワロタwww

103 : メンマ(茸) [IT] 2019/07/24(水) 18:47:17.01 ID:8grwA0Vn0

>>1

みんなで書き換えて良くしてねってことか?

いいよ^_^

2 : ツームストンパイルドライバー(北海道) [CN] 2019/07/24(水) 17:43:38.84 ID:96hVro9J0

■「オムニ7アプリ」のソースコードがGitHub上で公開されていた?

「7pay問題に関連すると思われる、プログラムのソースコードが漏洩している可能性があります」

7月上旬のある日、首都圏のIT企業につとめるプログラマーのユースケさん(仮名)は、そう言ってソースコードの実物を取材班に見せた。

ユースケさんがこの問題に気づいたのは、7月16日の記事のタロウさんと同様にセブン-イレブンアプリの通信解析をしていたからだ。

外部ID連携に設計上の問題があるのでは、との指摘は、報道が始まる以前から一部のITエンジニアらの間で噂になっていた。

ユースケさんもそんなうちの一人だった。
しかし、他の人と違ったのは通信解析を試す中で偶然、解析中に表示されたオムニ7の「APIサーバー」の名前を、GitHubで検索してみようと思ったことだった。
GitHubは開発者の間で一般的に使われている開発支援サービスプラットフォームだ。

ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。
一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。

同ソースコードは、その週のうちに削除されている。
このソースコードをアップロードしたと思われるのは、“iからはじまる7文字のアカウント”の人物だ。

https://assets.media-platform.com/bi/dist/images/2019/07/23/omni7-w1280.jpg

ユースケさん自身はソースコードの内容詳細までは解析していない。

しかし、ざっと見たところ、iOS向けのソースコードで、コードの一部に開発会社らしき複数のメールアドレスが書かれていること、またフォルダー名などからオムニ7アプリの一部のように見える、ということにも気づいた。

削除直前の足跡から、このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い、とユースケさんは言う。

事実であるならば、セキュリティーの観点から無視できない管理上の不手際ということになる。

7 : フライングニールキック(山形県) [ニダ] 2019/07/24(水) 17:45:03.32 ID:+eyJ4/FK0

下請け外部委託でお漏らししたんやろな

9 : クロイツラス(東京都) [ニダ] 2019/07/24(水) 17:45:23.26 ID:dk4Ny6JD0

GitHubにあるならOSSじゃねぇの?
ソースコードが公開されているからopenSSLを使うのは危険だ

とでも言うつもり?

100 : イス攻撃(茸) [JP] 2019/07/24(水) 18:41:56.27 ID:eEgPhN2X0

>>9

OSSじゃなく内部だけで使うつもりでやらかしてんの昔から結構いるぞ

11 : ドラゴンスクリュー(ジパング) [TW] 2019/07/24(水) 17:46:04.06 ID:msSrWPyi0

公開設定間違って公開しちゃってた(*ノω・*)テヘ

18 : クロイツラス(東京都) [ニダ] 2019/07/24(水) 17:47:38.81 ID:dk4Ny6JD0

>>11

公開目的でないなら外部のGitサーバなんて使わんだろ

26 : 河津落とし(関東地方) [PL] 2019/07/24(水) 17:49:15.84 ID:PODP3SVN0

>>18

そういう常識が通用する相手かどうかはわからない



60 : ドラゴンスクリュー(ジパング) [ID] 2019/07/24(水) 18:06:47.23 ID:Spu2Vl+s0

>>11

中の人「組んでるコードがうまく動かない…」
外の人「どんなコードだよ」
中「えっと、こんな感じ」
外「一部分だけ抜き出されても分からん」
中「待って、見られるようにするから(ポチー)」

が真相と見た

19 : ミドルキック(東京都) [CN] 2019/07/24(水) 17:47:44.34 ID:cr1JT0cI0

Prevateリポジトリにするのを忘れた?

25 : キン肉バスター(埼玉県) [US] 2019/07/24(水) 17:49:14.20 ID:bSxGoQsj0

nanacoは大丈夫なの?
チャージするためにクレカ情報登録しちゃってるんだけど

29 : ダイビングヘッドバット(福岡県) [CL] 2019/07/24(水) 17:51:48.96 ID:DQBl/Cvw0

ガバガバかよ

30 : 膝十字固め(家) [GB] 2019/07/24(水) 17:52:27.52 ID:c+xe0gCA0

もう開き直ってossとして開発しよう

35 : オリンピック予選スラム(大阪府) [ニダ] 2019/07/24(水) 17:54:41.65 ID:wsNWZx4i0

ねぇ、ねぇ、オムニってどういう意味??

41 : 閃光妖術(大阪府) [KR] 2019/07/24(水) 17:57:35.19 ID:5cqGAK9Y0

>>35

全部とか総括的とかそんな感じの意味(‘ω’`)

108 : リキラリアット(東京都) [US] 2019/07/24(水) 18:58:59.30 ID:yySHeIgu0

>>35

ロボコップのとこだよ
警備ロボで有名
ご動作して味方を撃ち殺す安心設計!

36 : 膝靭帯固め(茸) [CN] 2019/07/24(水) 17:55:46.22 ID:gSXvBkIK0

なんか最近セブンだけボコボコだな

38 : 32文ロケット砲(兵庫県) [ニダ] 2019/07/24(水) 17:56:51.08 ID:ScaNhEb40

スクショする前に絶対cloneしてるだろw

46 : ダブルニードロップ(茸) [US] 2019/07/24(水) 17:58:53.75 ID:V/cLHHKS0

ナナコに戻せ
ポイント下げるな

47 : 魔神風車固め(茸) [KR] 2019/07/24(水) 18:01:04.02 ID:zhVsSarp0

>>46

同感
毎回ヘンテコなアプリ起動してモタモタすんの嫌だわ

50 : ラ ケブラーダ(茸) [GB] 2019/07/24(水) 18:02:26.04 ID:wB6iBCaa0

どうせ安い下請け使ったとかだろw

58 : サッカーボールキック(静岡県) [US] 2019/07/24(水) 18:05:01.43 ID:d/zwjJY30

セブンペイ社長「…GitHub?…」

68 : 閃光妖術(SB-Android) [CA] 2019/07/24(水) 18:16:52.91 ID:YOnjoAP30

>>58

まあそうやろねwww

66 : スリーパーホールド(茸) [LK] 2019/07/24(水) 18:16:08.49 ID:arrI6hY90

90 : ジャンピングエルボーアタック(東京都) [ニダ] 2019/07/24(水) 18:34:23.86 ID:bJW3z/AP0

>>66

久しぶりのバーボンハウスわろた

You may also like...

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です