カテゴリー機能は終了いたしました。まとめ作成時にはタグをご活用ください。
20
ITmedia NEWS @itmedia_news
セブン関連アプリで「外部IDとのログイン連携」を停止 itmedia.co.jp/news/articles/… pic.twitter.com/bprAT1C5eV
 拡大
どらはい@カリカリすんなよ @drivers_hi
おっと、Omni7からOpenID利用のログインを一時停止するとの連絡が来たぞ。
Takahiro YAMADA @yamadamn
理由がよう分からんな。元々使ってないから関係ないんどけども。 twitter.com/itmedia_news/s…
Tomokazu Imai 🍑🍀 @bobbyjam99
@yamadamn 内部のセキュリティが担保出来てないから入口を絞ったんじゃないですかね。それかそっち経由でも損害が確認できたか。
Takahiro YAMADA @yamadamn
@bobbyjam99 損害確認できたなら仕方ないとは思うんですけど、どちらかというとOpenIDの方が(現状のomni7より)安全な認証手段な気もしたので、ちょっと違和感だったのですよね。
yanbe @yanbe
OpenID Connect (OAuth2) の client_secret か access_token でも漏れてたんかな... それ以外にこのタイミングでこういう対応をする合理的な理由が思いつかない omni7.jp/general/static…
『どうやらOpenID ConnectとOAuth2.0周りの実装でヘマやってた臭いね』『OpenID認証後のサイト側の検証がガハガバだったと言うことかしら』
パンダ型生物 @sword77k
WBS見てたら、7payの続報で「外部IDでの接続で安全性を保証できないので、全ての外部IDの接続を遮断した」と報道してた。どうやらOpenID ConnectとOAuth2.0周りの実装でヘマやってた臭いね。改竄検知できないタイプのアクセストークンでも発行してたか?
モフ・猫革命家 @Mofu_Master
この辺見る限り、やっぱり、OpenID Connectを7payは実装しきれていなかった(OAuth2.0どまり)せいで、Tokenやらnonceの取扱でミスってる可能性あるんじゃないかなぁ。IDとの紐付けミスるとかはここっぽいし。 OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ buildinsider.net/enterprise/ope…
kuruel @HkSE2000
7pay 外部IDログイン停止|NHK 首都圏のニュース www3.nhk.or.jp/shutoken-news/… さっくり調べて見た限り、OpenID認証後のサイト側の検証がガハガバだったと言うことかしら。
たるすぴ@ぼっち党員 @tarusoopy
7pay、朝の時点で同僚から教えてもらったけど話題になってるなーw自分達はセキュリティ屋でもなんでもないGW屋だけど、OAuth2の実装とWebAuthnの検討は普通にやってるぞ。
i-ji-@保登心愛 @saigusaharuka
そういやOmni7をごちうさやラブライブ!サンシャイン!!関連で使ってるけど、IDはOpenIDので連携させてそっちでログインしてた
i-ji-@保登心愛 @saigusaharuka
まぁOpenID系のアカウントでIDとパスのリストが流出しているなら7payでもログインに使えるけど、かといって7iDがセキュアかと言えば例の作りだしなぁ・・・
モフ・猫革命家 @Mofu_Master
ぱっと考えて、何の意味もなくね? というか、むしろ、外部認証だけ許可のほうがまだマシなんじゃと思うんですけども。
ITが分からないbeepcap@HTTPSの強制には反対 @beepcap
@Mofu_Master 外部認証を利用したゼロデイ攻撃の可能性はある。
モフ・猫革命家 @Mofu_Master
@beepcap OpenIDそのものに、ってことですかね?
ITが分からないbeepcap@HTTPSの強制には反対 @beepcap
@Mofu_Master いや、omni7のOpenIDを利用した認証に不具合があったんでしょ。 その場合、どうしてもomni7を止められないなら、こうなるとおもう。
猫又にゃぉ助@宿毛湾泊地所属提督 @nekomata_nya
「セブン&アイ・ホールディングス」被害拡大を 防ぐため「7pay」の外部ID利用したログイン停止 これOpenIDとかそっち方面に喧嘩撃ったってこと?まじで?オムニ7の7iDはそのままで?つか、 7&i「(被害は)おさまってきた。」 まだ被害が出てるのにサービスとめないの? #nhk #おはよう日本 #7pay pic.twitter.com/UOYiHumZG9
 拡大
モフ・猫革命家 @Mofu_Master
OpenIDの接続部分のミス、外部認証に現在ログインしてれば利用可能だった(セッションが永続?)で、考えると、これ、リプレイ攻撃し放題だったんじゃないかと予想。 セブン&アイが外部IDからのアプリログインを前倒しで停止、7payの不正利用受け tech.nikkeibp.co.jp/atcl/nxt/news/…
Hiroaki Asai @integra
7payのOpenIDでの利用停止のリリース見たら7payつかうセブンイレブンアプリ以外のOmni7基盤つかった会社のアプリも7iD認証に登録変更をお願いする事態になっててセブンアイHDとして各社へお詫びものの事態になってるなぁ。(この状況で7iD認証にするユーザは度胸あるとおもう) 7andi.com/library/dbps_d…
MATUKEN @MATUKEN
すげーなーomni7。OpenIDだと危ないから一時停止して、自分のところのログイン認証使えってか。よっぽど自分のところのセキュリティ技術に自信があるんだなー(棒) 善意に解釈して「一時停止」だから自分たちの実装に問題があってその改善してんだろうけど、このままずっと停止かもなー(,,゚Д゚)
ぴょんぴょん @mine02c4@mstdn.jp @mine02c4
omni7.jp/general/static… Omni7のお知らせに「オープンID」なる謎用語が爆誕している…。OpenIDと紛らわしい言い方やめてくれ。普通に「外部認証」とか言ってくれりゃいいだろ pic.twitter.com/0Bfg1ZfhXq
 拡大
モフ・猫革命家 @Mofu_Master
7payがOpenIDではなく、時間がなかったからOAuthでやって、この轍を踏んでる可能性、あると思います。 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる wp.me/p6mzGO-nZ via @_nat
その他の関連ツイート
やすも @yasumo
7iDを消せば7Pay含む関連サービス全部消えるだろって思ってたけど、そもそもこんな状態だと中途半端にデータ残りそうだから、関連サービス退会してから7iD消せが正しいのは正しいな?
残りを読む(25)

コメント

ジョルジ=フェルナンデ@流川市民 @JorujiF 9日前
所詮、アメの手先の外資企業よ。日本人ならファミリーマート、セブンを使うのは売国奴。
クイバチカ @quibachika 9日前
警察も仕事しないな…
fukus @fukus 8日前
ログインまわりがスパゲティ化してて、これら切らないと多要素認証の実装が出来ない。とか妄想した。
shuich kimura @NEOura36 8日前
何のこっちゃよう分からんけど、とにかくセブンが悪い
かつま大佐(対象年齢10歳) @kamiomutsu 8日前
セブンではiDしか使ってないな…飛びつく気もなかったけど
刑事長/理事長 @DekatyouNy 8日前
JorujiF いまや逆なんですが…(アメリカのセブンイレブンが日本の子会社)
takatakattata @takatakattata1 8日前
社長が1から10まで設計に口出してる会社なのかな
0台の端末 @28forecasters 6日前
security holeを通り越してsecurity hallやんけ
pt2012 @pt20121 5日前
具体的な記事がでてきましたので説明文のところに追記しました→狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN https://www.businessinsider.jp/post-194660
ログインして広告を非表示にする
ログインして広告を非表示にする