TOP > IT・テクノロジー > 牛角サブスクの脆弱性 - Qiita

牛角サブスクの脆弱性 - Qiita

113コメント 登録日時:2020-02-13 19:03 | Qiitaキャッシュ

<font color="red">※ブコメとかに対するフィードバックを色々追記しています</font>牛角サブスクに22日通った。その中で、色々な脆弱性が見受けられたため、詳しく書く......

ツイッターのコメント(113)

画面見せるだけサブスクの偽ページを簡単に作る。
画像を表示して、クリックしたら、次の画像へみたいなものを作れば簡単に作れそうだし、PV稼げそうだけど、詐欺の幇助とかでつかまりそう。
サブスクやってるのは知ってたけどどういうシステムでやっていたのか知らなかったから興味深い。
サービスを利用する側も使用方法を徹底しなければ、色んな落とし穴があるんですね…こういうサービスって特に何も考えずに、お得!ラッキーくらいの感覚で使ってるから勉強になります
牛角サブスクの脆弱性。
こういうこと始めるには店舗も本部も未成熟すぎるのでは。
それともその辺のリスクは目を瞑る覚悟ができてるのかな?でもこれエンジニア以外でも気付くでしょ。

こういうのすごい気を付けてる。気付かずに後になって問題になって苦労させられる羽目になるから…
> これは、開発側のリテラシーももちろんだけど、運用側のリテラシーの問題が大きいよな。それこそ、その認証をやらん意味がわからんのだけど、そのコストすら省きたい、けどサブスクはやりたいなら店舗側にリスクを背負ってもらうしかない。
面白い。笑

-牛角サブスクの脆弱性-
サブスク脆弱性について、わかりやすい。
私も設計する時の参考にしよう。
脆弱性 := 1つ以上の脅威によって付け込まれる可能性のある、資産または管理策の弱点(JIS 27000:2014) なので"脆弱性"と言って良い気はする
画像生成して使ったら法に触れるけど、QRとかで制御しないとやばいと思うなw
ID技術に脳みそ溶かされかけとる奴らならこの話もうちょっと楽しめそうだな!
まさにザルザルのザル
PornHubにエロ動画以外をアップする人とQiitaにエンジニアリング以外の話題を上げる人は同じレベルだと思ってる。
凄い話題になってる、というかコメント欄で議論しておる。
金曜の朝から消されないか勝手に心配してたけど、大丈夫みたいだな
リアル店舗のサブスク基盤はこんな感じなのか…、マジかって印象だった
某クーポンでも同様にソーシャルハック可能では?ってのがあった。当然、俺個人は悪用することはないんだが、大丈夫かいな?ダメだわなあともにょった。でもホワイトハックして企業に伝えようにも窓口とかも良く解らんからなー
「サービスは、コンピュータで動くプログラムだけでなく、運用してはじめて完結する。目の前のエディタをこちょこちょするだけでなく、運用する人間、利用する客の動きをデザインするところまでがエンジニアの仕事である。
」には納得。
サブスクの流行に乗りたいがための付け焼き刃な運用システムだなって思ったんご...。
めっちゃ好き
こういう記事はめっちゃ面白い
これは怖い。こんなに緩いのはあかんよね。良記事
📄牛角食べ放題サブスク、脆弱性がガバガバだった
» 「サブスクで」と言うだけで、スマホの画面を見ることもなく通されるパターンもあった。もはや、サブスク権を購入していなくても無銭飲食ができてしまう。…それに、バイトにしてみれば、客がサブスク契約してようが無銭飲食だろうが関係ない - Qiita
思ったよりガバガバな運用だった
22日通ってるんやったら最強の顔パスっていう本人確認あるから脆弱性ではないような気が
牛角が食べたくなる記事です。
これは…マズいね。てか肉食べたい。
プログラミングの話ではないですが、システム設計って観点ですごい勉強になりました。
自分もこれはシステムの脆弱性として扱って問題ないと思う。「「脆弱性ではない」「Qiitaでやるな」「Qiita荒らし」のような趣旨のブコメが一定数あるが、私はこれは脆弱性であると考える」
qiitaなのがいいな。
とても良い記事。
『利用する客の動きをデザインするところまでがエンジニアの仕事である。』
自分も戒めていきたい言葉。
へぇーってなった 最後の半額キャンペーン初めて知ったのでオタクは俺と牛角に行きましょう
ワロタw:
まさに脆弱性。運用まで考えようね。
読んでてとても面白かった。
この様子だと運営側も諸々のリスクや損害込みで企画通してそうな雰囲気ある。
サービスの設計ってほんと大変だなぁとしみじみ_(ᅙωᅙ๑_ )_
いい加減な。

牛角のは話題づくりが狙いで、すぐ引っ込めるつもりで雑に作っていた可能性もありそう。
“サービスは、コンピュータで動くプログラムだけでなく、運用してはじめて完結する。目の前のエディタをこちょこちょするだけでなく、運用する人間、利用する客の動きをデザインするところまでがエンジニアの仕事である。”
名言すぎて記事の内容が頭に入ってこない…
把握してなかったから勉強になったし倫理がある

> サービスは、コンピュータで動くプログラムだけでなく、運用してはじめて完結する。目の前のエディタをこちょこちょするだけでなく、運用する人間、利用する客の動きをデザインするところまでがエンジニアの仕事である。
わー。
そう、設計から最後までがエンジニアの責任。
だからクレカとかネットショップ系は怖くて受けない。
うーんタイトルが◎
"はっきり言ってザルザルのザルすぎて、正直金をとって運用するレベルに達していない。"

- Qiita:
ダメだこりゃ。→
牛角への ゼロデイ 攻撃!
いやぁ、ほんと危ない。と言うか現場のフローが追いつかないって他でもあるよね。あとなんでかわからんけど久々に牛角行きたくなった
画面チラ見せで通れるやつ最近多い印象
>サービスは、コンピュータで動くプログラムだけでなく、運用してはじめて完結する。目の前のエディタをこちょこちょするだけでなく、運用する人間、利用する客の動きをデザインするところまでがエンジニアの仕事である。

これ大事。
ゲラついた
良い解説だった
わろい
良い記事だった |
面白かった。ここまでザルだとは知らなかった。アナログで顔写真貼ったスタンプカードで良かったのでは?牛角側の開発者の意見を聞いてみない。きっと事情があるのだろう。>>
アプリやシステムの開発費、現場オペレーションコストなどと比較すると、この脆弱性?を突かれたところで大した被害額ではないし、これで全然OKだと思う | - Qiita:
脆弱性というか緩すぎィ
牛角の食べ放題のやつ終わってたんだ
結構大事なお話なんだよなぁ...
qiitaでやるな
これはどの仕事にもいえるよね。
為になる記事

サービスは、コンピュータで動くプログラムだけでなく、運用してはじめて完結する。目の前のエディタをこちょこちょするだけでなく、運用する人間、利用する客の動きをデザインするのがエンジニアの仕事である。
"バイトにしてみれば、客がサブスク契約してようが無銭飲食だろうが関係ないんですよね。"
結局運用・利用するのは人間なのでそこまで考えないといけないなって同意します。
運用設計大事だなぁ。
ブコメにQiitaでやるなというのが多かったけど、既にQiitaには上流工程の記事はたくさんあるし問題ないかと。
最後に 如水(わちょーい) さんが引用されててびびった。
いやこれやばすきでしょ
嫌いじゃないよ
スゴい!真面目!
この各方面に配慮してる感じが好きですなー。
牛角サブスクの脆弱性、読みました。
いじめると牛角の社内SEが死んでしまいます
バーコード読み取りすらないのか・・・
システムの不具合(脆弱性)を現場(バイト)に理解させるのは当然無理だし、それをうまく(人もシステムも)動かすのがエンジニアのお仕事なんだけど、まあそううまくはいかんのよね。
こわいねぇ
ネタかと思いきや本当に脆弱性の話だった。


サービス運営側が金銭的に損をするという問題なので、サービス運営側の判断で良しとする選択もありえると思います。
利用履歴積まない場合、会計や請求など金の流れも気になるね。チェックイン認証系の導入は大抵会計にハネるところだけれど。脱税にならなきゃいいですけどね。
内容の話じゃないんだけど、下の画像の「角」が違うのは何だろう??
牛角のサブスク、これはシステム運用における脆弱性です
クラッカー気質な自分とかだと、平気でこういうの悪用するから駄目だよ
・・・確か、丸亀製麺のクーポンにも脆弱性がまだあったな
(客がQRを読み込むタイプの)QRコード決済なら同じ事ができる。犯人がリアルで店に行く必要があって、足が付くから別に良いのでは。
ヒューマンエラーというのはデザイン(表層のそれではない)に問題があるから起きることが多い。
だからこそ、なるべく複雑な操作をすることなく目的を達成できるようなプロダクトを提供できるようにしたい。
「ハラミをカンストまで注文するとシステムがバグって全メニューが無料になる」とか「カルビを頼むだけ頼んで生で食べだすと体がバグってめっちゃお腹壊す」とか「白米とお冷だけ注文し続けて米櫃を空にすると店員がバグって全員死ぬ」とかの脆弱性だと思ったら違った
セキュリティガバガバで草生えますね
(プログラム的な)システムの脆弱性ではないかもしれないが、サービスの脆弱性ですよね。かなり大事なことだと思う。エンジニアでも、いや、エンジニアならこの辺もちゃんと気にしないと行けないですよねー|
リアルサービスに対する脆弱性の指摘記事、趣深い。
em〇g魂とかで慣れてる人、いくらでもできそう(※犯罪
面白い 牛角行こっと
ネタ記事かと思ったらほんとに脆弱性だった...!
まぁ新規購入できないから、、
ビールのサブスクいいなぁ
をいいねしました。
@kodoooo

ここで、このツイート引用されてておっ!となったのでお知らせ。
競合のAlwaysも同じ問題を抱えてる。店舗側の確認がザルだから権利行使画面(2、3ページ)を自作すれば使い放題。 /
スタンプちゃんと押さないのも凄いし画面確認すらしないのは草→
「それどころか「サブスクで」と言うだけで、スマホの画面を見ることもなく通されるパターンもあった」…通いすぎて、顔パスになってるじゃないですか!!
なるほどねぇ…しかしこれはヤバイね
やばやばのやばで草生えた
なんだこれはたまげたなぁ
そうできるのはわかるけど、試しにやってみたレベルのものにまともな開発費出せないのは分かる。原価計算も元々、いっぱい食う人とそうでない人がいて適当なはずだし、不正額もその誤差に収まると踏んだんだろ。 /
システム以外でも大コケしててボロボロやな
ゆるめサブスクリプションサービスは似たところがあると思う。例の映画見放題もここまでひどくはないけど、部分的に同じ脆弱性があった。中高生などによる悪用ニュースもこの後発生しそうな気がする→
本当の食べ放題だった /
これは有益な知見(だめです)
“monster pass「店によってはヤバヤバだけど、店の自己責任だからプラットフォームには責任ないよ! 設備投資渋る店にも無理やり導入したいからセキュリティは置いといてゴリゴリ営業するよ!」”
それどころか「サブスクで」と言うだけで、スマホの画面を見ることもなく通されるパターンもあった
ザルすぎwww
脆弱すぎる(アナログな意味で)
真面目な人間系の脆弱性として読んでおきたい
ゼロデイの脆弱性を公開するなんてー(棒)
牛角サブスクの脆弱性というかザル運用のお話し。
牛角のゼロデイ公開されてる
"この記事で紹介している脆弱性を実際に突いてサービスを不正利用した場合、詐欺罪に問われる可能性があるので、絶対にやらないでください。また、この記事は啓蒙を目的としており、システムの悪用を推奨するものではありません"
以上

記事本文: 牛角サブスクの脆弱性 - Qiita

いま話題の記事