Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

「本当の食べ放題」契約してない人も利用できてしまう牛角サブスクの脆弱性についての話

ヒェ…
120
きつねこ @kituneponyo

期間中、すごくがんばって黙ってたけど、牛角サブスク、契約してない人間ですら食べ放題という驚異のザルシステムだった 運営への確認も済み、やっとすべてを公開できるのでほめてRTしてほしい qiita.com/kituneponyo/it…

2020-02-13 19:08:09
リンク Qiita 牛角サブスクの脆弱性 - Qiita <font color="red">※ブコメとかに対するフィードバックを色々追記しています</font> 牛角サブスクに22日通った。 その中で、色々な脆弱性が見受けられたため、詳しく書く... 371 users 91
きつねこ @kituneponyo

牛角サブスクで安っぽい肉漬けにしたあと、牛角半額で食べ放題じゃないそこそこ良い肉漬けにする牛角の戦略とてもやばい

2020-02-14 16:14:42
きつねこ @kituneponyo

まず安いものを気軽に買わせて、よさを堪能させてから、もっと高いものを買わせる、これをビジネス用語で「アップセル」といいます twitter.com/kituneponyo/st…

2020-02-14 16:15:51
きつねこ @kituneponyo

牛角サブスク脆弱性、こんなもんエンジニアはみんな気付いてるやろ、記事にしたらバズるやろって思いつつもサービス終了まで耐え難きを耐えて黙秘を貫いたので本当にほめてほしいし拡散してほしい

2020-02-14 02:32:22
GoToくのベル @kno1020

本当の食べ放題だった / 牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita

2020-02-14 07:20:44
とりさん@腹筋が弱い @TypedTypelessTy

@cheenanet これ実際そうだった. 特に後半急遽増えた店で顕著だったように感じる.

2020-02-14 02:12:23
或阿呆 @an_ahou

@cheenanet ふつーに面白い良記事だったわ 厨房での行いも不安になる

2020-02-14 02:04:50
Neutral8✗9eR @0x009AD6_810

人間系の脆弱性として真面目に読んでおきたい qiita.com/kituneponyo/it…

2020-02-14 01:59:33
ねこさん⚡(ΦωΦ) @catnap707

牛角サブスクの脆弱性 qiita.com/kituneponyo/it… "この記事で紹介している脆弱性を実際に突いてサービスを不正利用した場合、詐欺罪に問われる可能性があるので、絶対にやらないでください。また、この記事は啓蒙を目的としており、システムの悪用を推奨するものではありません"

2020-02-13 21:53:15
tkq @tkq12

「ハラミをカンストまで注文するとシステムがバグって全メニューが無料になる」とか「カルビを頼むだけ頼んで生で食べだすと体がバグってめっちゃお腹壊す」とか「白米とお冷だけ注文し続けて米櫃を空にすると店員がバグって全員死ぬ」とかの脆弱性だと思ったら違った qiita.com/kituneponyo/it…

2020-02-14 11:33:13
はにーさん@ @Honey_Leopard

@tkq12 今の注文状況でこれを頼んだらキッチンがパンクするみたいな脆弱性があるって聞いたことが

2020-02-14 11:34:10
tkq @tkq12

@Honey_Leopard 全員サブスクだとキッチン終わりそうですなー

2020-02-14 12:11:53
きつねこ @kituneponyo

@tkq12 牛角の食べほ、iPadでオーダーするので、たぶんそれ系のまた別の脆弱性はあると思う

2020-02-14 12:10:30
fortrand🎵 @fortrand

消費者としては「得なら良い」が、技術文化の面で、これはずさんな事例として記憶されるべき。無賃乗車できる定期と同じだ。 > 牛角サブスクの脆弱性 qiita.com/kituneponyo/it…

2020-02-14 18:16:10
ぶちょしぃ @bucho_que

牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita 人による荷物検査並のザルさだな。性善説に基づきすぎてる

2020-02-14 11:01:15
すいとん @dC9WSBCcxRyJZAP

面白い 画面とボタン押すの見せればいいだけなら誰でも作れるな qiita.com/kituneponyo/it…

2020-02-14 07:48:08
taashi @taashi_s

(プログラム的な)システムの脆弱性ではないかもしれないが、サービスの脆弱性ですよね。かなり大事なことだと思う。エンジニアでも、いや、エンジニアならこの辺もちゃんと気にしないと行けないですよねー|牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita

2020-02-14 10:47:50
マンモス🍖 @sem_mammoth

結局運用・利用するのは人間なのでそこまで考えないといけないなって同意します。 牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita

2020-02-14 13:53:22
ちよこ@WEBエンジニア1年生 @metameta997

牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita ネタ記事かと思ったらほんとに脆弱性だった...! まぁ新規購入できないから、、

2020-02-14 10:01:09
げれげれ🌖CBR250R @geregeregere

バーコード読み取りすらないのか・・・ 牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita

2020-02-14 12:43:44
半魔 @Oterukamuru

牛角サブスクの脆弱性 qiita.com/kituneponyo/it… #Qiita セキュリティガバガバで草生えますね

2020-02-14 11:23:33
残りを読む(7)

コメント

rambda @rambda2 2020年2月14日
「適切に行われてない店が複数あった」ってなんだ? サブスク対象店舗って3店舗だけのはずでは?
4
Yeme @yer_meme 2020年2月14日
これは良記事っスよ。システム設計するときは運用する人間目線のセキュリティ対策はほんと重要っス。
65
むう @nyal1999 2020年2月14日
rambda2 https://business.nikkei.com/atcl/gen/19/00100/010800001/ によれば「当初の3店舗から1都3県の48店舗に拡大」したようです。ただし、記事を見ると「今年1月のサブスクリプション販売終了とともにすでに購入されていた権利分は拡大」と読めるので、「パンクした」分の応急的補填という位置づけの模様。
37
Hattiy @HattiyS6 2020年2月14日
paypayも同じ様な脆弱性持ってるよね
6
むう @nyal1999 2020年2月14日
結果として、「脆弱性は理解したうえで損切としてクローズした」が正しいのかなあと
42
伍長 @gotyou_H 2020年2月14日
牛角サブスクって、ツイッターで話題になった数日後にパンクだかなんだかで新規受け付け停止、っていう流れだったはずだけど、ひょっとしたら話題になって指摘した奴が現れてそこでようやく気付いた、のかな・・・?
5
yuki🌾㊗️6さい🎉⚔ @yuki_obana 2020年2月15日
内部の人は気づけても実際に無銭飲食かまそうとするやつが調査しない限りはわからないし実際できると判明しても良心の塊なので自分の美味しい肉をタダ乗りで食える権利を手放してまで指摘するやつはいない。そして突然のサ終リスクを負ってまで指摘するやつもいない。こうして絞り取れるだけ搾り取ったあと焼き畑は実行される。絞りカスを押し付けられる可愛そうな庶民たちがんがれって程度の話ね(´・ω・`)
1
usisi @usisi00 2020年2月15日
HattiyS6 それで逮捕された人出ましたね。 私も一回支払い押せてないまま精算通って、後からもう一度払いました。
3
シロクロ@まあ足 @BlancNoir_nanto 2020年2月15日
HattiyS6 もうペイペイ詐欺あった模様。 決済画面見せたあと、素早く金額を一桁減らして支払い処理したとか(´・ω・`) >東京新聞:ペイペイ詐欺疑いで女逮捕、大阪 画面不正操作し決済額変更:社会(TOKYO Web) >https://www.tokyo-np.co.jp/s/article/2020021201001880.html ところでアイコン画像のサーティが気になる(´・ω・`)
2
denev @_denev_ 2020年2月15日
「バイトにしてみれば、客がサブスク契約してようが無銭飲食だろうが関係ない」いやはや、これに尽きるね。優れた決済システムの仕組みを、正しくバイトに理解させた上で、正しく運用するコストはいかほどか。
40
かつまたいさ(永遠の10歳📛) @kamiomutsu 2020年2月15日
サブスク自体が損覚悟のサービスだっただろうから、適切な認証とか完全にどうでもよかったのかもな。まとめにもあるようにその後の顧客獲得のための大盤振る舞い以上のものではなかったのでは。大手だから逆にできちゃう無茶苦茶さだったのだよ。
8
takatakattata @takatakattata1 2020年2月15日
牛角側も辿れるようにはなってるし、根本的な話には触れてないのがアレね
0
sake @sake_ne_ku 2020年2月15日
結局、今回のサブスクって、 開始で話題になる→人気で募集終了になる(演出)→1ヶ月だけでおわり っていうマーケティングだったと思うんだよね だから、今後を見据えたコストは払わないし、多少不正利用されてもそれは想定範囲内だったのかなと 記事は非常に良い指摘だった
28
むぎちゃ @mugicha_gbf 2020年2月15日
システム側で機能を提供しても面倒の一言で使われないことは往々にしてあるわけで、使う側がリスクを理解した上で運用しているのであればもう何も言えん。
0
カレーうどん @kareudon14 2020年2月15日
でもこれ監視カメラで不正の現場がかっちり録画されるだろうし、普通に犯罪なので脆弱性があっても実行する人はそこまでいない気もする。農作物の無人販売所みたいな倫理観を期待してるのかな?
1
Ichigo Mayo@Vまよーん @15my 2020年2月15日
こういうのはたまにちゃんとチェックされるくらいで十分やろネット攻撃と違って犯人目の前に居るんやし。
0
K2 @K__R_K_ 2020年2月15日
ゼロデイという表現に草
1
ねや @AriaSub 2020年2月15日
たったこれだけのことにどれだけのコストが掛かるのか! →無銭飲食が多少出たところで「日本なら」数百万の被害で済むけど、 日本企業のお偉いさんに、それを防ぐ事が如何に重要なのか理解できるまでセキュリティ教育して、 追加開発やって一切不具合起こさないように徹底的に試験して、 問題が起きないように継続保守して、 それを使うようにアルバイトに至るまで全店舗徹底教育してって、 1000万じゃ効かないコスト掛かるでしょ。 コレだから日本はって話であると同時に、日本だからこそコレでもなんとかなるって話
6
あなぐらから @vbwmle 2020年2月15日
自己申告・顔パスなのはこの人がバイト内であだ名が「サブスク」になるくらい通い詰めてたからでは(想像)
0
冶金 @yakeen4510 2020年2月15日
「名前でたらめ」これは馬鹿正直に書く方があれだよね。たとえばネットの通販なんて、正直に書いてるの住所だけだよ自分は。姓名全部デタラメ。本名「山田太郎」なのに「田中一雄」みたいな名前で利用している。表札にちょろっと「田中」と書いとけば届ける方もおかしく思わない。何から何まで正直に書くことはないよな。
1
でき🌂 @dekijp 2020年2月15日
yakeen4510 一人暮らしの女性が男性名で通販を頼むのは良くある。
1
中書島れもん @__cjl 2020年2月15日
togetterになるとちゃんと読まずに適当な脊髄反射コメント書くやつが増えるので知的水準が一気に下がるな
0
ミサイル @junko_missile 2020年2月16日
「サブスクで」は神の言葉
0
water20 @water20 2020年2月16日
Always lunch でも似たようなシステムだけど、店員さんはガッツリ確認するけどな。個人店とチェーン店の店員では必死さが違うかも。
0
ゆうき @F001Yuki 2020年2月16日
Qiitaでする話じゃねえって声が出てるとこが白目剥きそうだった
2