-
motoyaKITO
- 16157
- 50
- 12
- 15
-
- いいね!15
IPA(情報セキュリティ安心相談窓口)
@IPA_anshin
IPA情報セキュリティ安心相談窓口の公式アカウントです。 窓口に寄せられる相談をもとに、コンピュータウイルスや不正アクセス等の手口や対策に関する情報を、皆様にお届けします。 ※情報発信専用のアカウントです ご相談は→ ipa.go.jp/security/anshin
IPA(情報セキュリティ安心相談窓口)
@IPA_anshin
モバイル決済サービス「7Pay」 で、第三者に不正アクセスされ、身に覚えのない取引が発生していると、運営会社から注意喚起されています。 1/3 7pay.co.jp/info/info_2019…
2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口)
@IPA_anshin
モバイル決済サービス「7Pay」 で、第三者に不正アクセスされ、身に覚えのない取引が発生していると、運営会社から注意喚起されています。 1/3 7pay.co.jp/info/info_2019…
2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口)
@IPA_anshin
◆ログインID・パスワードが分かりやすい ◆クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一 という場合は、すぐにIDやパスワードを変更してください。 詳しくは運営会社からのお知らせをご確認ください。2/3
2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口)
@IPA_anshin
不正ログインの被害に遭わないために、日頃からパスワード設定は「できる限り長く、複雑にし、絶対に使い回さない」ようにしてください!3/3 ipa.go.jp/chocotto/pw.ht…
2019-07-03 17:19:32パスワードのセキュリティがガバガバ過ぎる
のらねこ!C103 12/31東2 U21b小型PC本
@ragemax
パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。
2019-07-03 22:09:50
のらねこ!C103 12/31東2 U21b小型PC本
@ragemax
と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT
2019-07-03 22:09:51
拡大
のらねこ!C103 12/31東2 U21b小型PC本
@ragemax
お誕生日と登録メアドをどうやって入手するかについてはここでは考えないこととしたい。今の世の中いくらでも何とかなるような気がするけど
2019-07-03 22:18:37
Miyahan
@miyahancom
#7pay の不正利用問題、オムニ7時代にアカウント作った人は生年月日+電話番号+会員IDの組み合わせが一致していれば任意のメアドでパスワードリセット可。ヨーカドーアプリ・セブンアプリから作った人は生年月日+メアドの2つさえ合っていれば乗っ取り可。で今回後者のリセットが悪用されたと?
2019-07-03 22:43:25
Miyahan
@miyahancom
知人なら余裕で乗っ取り可能だし、過去に漏れたメアドと生年月日リストがあれば機械的に簡単&大量に乗っ取れると。あとはチャージパスワードのリセット(秘密の質問)さえ突破できればクレカの限度額まで使いたい放題とな。
2019-07-03 22:49:59
Miyahan
@miyahancom
秘密の質問は下記のうちどれか1つ ・母親の旧姓 ・子供の頃のニックネーム ・子供の頃になりたかった職業 ・中学のときの部活動 ・好きな果物 ・好きなおにぎりの具 ここで特別に私が子供(小学生)の頃のニックネームをお教えしましょう。「ミヤハン」です。
2019-07-03 22:58:19
ラーメン大好きしろくまさん
@Kumappus
@miyahancom 秘密の質問もぶっ飛ぶなんちゅう緩いリセット要件なんだ... ひょっとしてSNSで「誕生日」を探してメアドの当たりをつけたら結構見つかるんじゃ...
2019-07-03 22:52:04
mizushika
@mizushika1
@miyahancom 生年月日が「未選択」のユーザは 2019/01/01 でパスワードリセット可能だそうなので、条件はもっと緩くなりますね…。
2019-07-04 08:36:53
shao as a service
@shao1555
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。 ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K
2019-07-03 21:31:57
shao as a service
@shao1555
#7pay の一件は「既に利用しているユーザが他人に不正にチャージされて買い物された」という事象なのに、運営はチャージだけ止めて買い物は引き続き可能にしてる。買い物できるということはセッションを奪われたという話なので、買い物含めて全部止めないと被害が拡大するのです。
2019-07-03 21:05:10
拡大
Hiromitsu Takagi
@HiromitsuTakagi
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
2019-07-04 06:51:40
拡大
拡大
拡大
拡大
Hiromitsu Takagi
@HiromitsuTakagi
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
2019-07-04 06:54:02
拡大
拡大
拡大
拡大
Hiromitsu Takagi
@HiromitsuTakagi
うわあアア…… pic.twitter.com/e2DTyVR1Qy
2019-07-04 06:56:53
拡大
拡大
拡大
拡大
Hiromitsu Takagi
@HiromitsuTakagi
改行があると退会できないのも再現した。 pic.twitter.com/gg1z4TshpX
2019-07-04 07:18:18
拡大
拡大
まさ@どすこいラ族の夏物語
@qMASp
@HiromitsuTakagi 7iDの誕生日変更はomni7のサイト上では不可。 お問い合わせフォームからする必要があるらしい。 pic.twitter.com/Evbk7qN3zu
2019-07-04 10:44:29
拡大