TOP > IT・テクノロジー > 7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた | 日経 xTECH(クロステック)

7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた | 日経 xTECH(クロステック)

42コメント 登録日時:2019-08-07 08:22 | 日経xTECHキャッシュ

 セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。...

ツイッターのコメント(42)

HTML ソースを見るとクレジットカード番号が丸見えだったって信じられない。
システム開発会社は、ブラウザからHTML ソースが見れることを知らなかったのか?笑
今回の7Pay事件、6年前の反省をしてなかったか。
→HTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示

xTECH
思い出したい。清水健執行役員「事前に検証しており、従来の他のサービスに比較しても充分な強度を持つことを確認した(キリッ)」<-もはやギャグを通り越して無能者による人災極まれり / xTECH…”
“HTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工”
セブン6年前のやらかし事例。

xTECH
ちゃんとセキュリティがわかる人いなかったんかい?これぞ、頭隠して尻隠さず。
2段階認証も知らなきゃマスキング処理も理解してないんか?w
厳重に注意した結果が7Payだよ!

って過去の漏洩が酷過ぎて笑えない

ブラウザ画面上では表示されないものの、HTMLソースをPCで読み込めば16ケタのカード番号が見られる状態になっていた。
「同社は「いつもの注文」のページのHTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工していたのだ。」 香ばしい…(´・ω・`):7pay問題に揺れるセブン&アイ、6年前にも…
しばらくは7-11系の決済サービスやECサイトは利用したくないなぁ。根本的には体質の問題で、ITやセキュリティ軽視の姿勢が見え隠れするし。
元記事は6年前のものですか。当時はリスト攻撃という手法が登場した直後で、続々と各社のサイトが不正ログインを受けていた頃です。☞
セブンのネットサービスは絶対使っちゃダメだな。
いや、、、ちょっと、、、これは、、、
セブン格好いいな
中途半端な事故は大惨事の前触れだったりする。
・規模が小さいと危機感がない
・事故を起こす体質は変わらない
・結果、大事故を起こす
何が完成するのかもよくわからないまま、任されたところだけを必死こいてプログラムして、何を確認するのかもわからないテスターがテストして名ばかり品質管理者がハンコ押して完成したのかな。あるある
7pay問題に揺れる
セブン&アイ、

6年前にも
情報流出を引き起こしていた
動かないコンピュータ14連発


最初この1本目の記事のタイトルを見たとき14連発でセブンイレブン関連の記事が載るかと思ってしまった私の心は汚れていますね
ゲラゲラ
セブンアイ狙っておけば、今後も稼げるセキュリティホールがたくさん見つかるってことですね。
ちょっと意味がわからないんだが。

「ログの中で個人を特定できる情報は、不可逆的な数値変換を施して、後から取り出せないようにしていた」
「ログの不備から被害に遭ったユーザーを特定することもできなかったため、警察に被害届を出すことも断念したという。」
セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。
“連絡を受けたセブンネットはまず、ECサイトに欠陥が無いか社内調査を行った。しかし、独力では欠陥を見つけられなかったため” / xTECH(クロステック)”
もうコイツらWebシステムの開発やめろよ
この手順に問題があった。同社は「いつもの注文」のページのHTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工していたのだ。
なぜ、ヨドバシのゴールドポイントカードの写真?
セブンペイ、パスワードリセットのメールアドレスでも同じ事してたよな

> 同社は「いつもの注文」のページのHTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工していたのだ。
ハンパねえな
やはりここからは二度と買い物はすまい。
今回の件は開始早々だからもっとヤバイ状態だったのだろうけど、これもヤバイね…
まあ、前のはidとpassが分からないと入れなかったから被害が小規模ですんだのかな…
これは...。

> HTMLソースに、カード番号の16ケタ全てと有効期限を記載。その情報をWebブラウザ上で「マスキング処理」したうえで、末尾4ケタのみを表示するよう加工
酷すぎて草も生えない
セブン系列で個人情報登録は絶対やめとこーっと
・HTMLにカード番号16ケタ全てと有効期限を記載
・他ユーザーの注文履歴が見えてしまう
・ソースコード一式が同社サイトから誰でもダウンロードできてしまう
・個人情報特定できるログに不可逆的な数値変換を施したら不正アクセスの痕跡を辿れなくなった

もはやコントだな。
もうこの会社は現金のみにした方がいいよ
どういう意思決定やねん
セブン&アイって体質的にITが苦手なんじゃないか?
QRコード決済なんてやっちゃいけない会社だったんだ
そんな要件あるんだ…

「PCI DSS(PCIデータセキュリティ基準)では、Webサイト上などでカード番号を表示する際には、ユーザーに対して最大で4ケタしか表示しないよう求めている」
2013年の話>『そのため、ブラウザ画面上では表示されないものの、HTMLソースをPCで読み込めば16ケタのカード番号が見られる状態になっていた』 / xTECH(クロステック)”
7payの顛末、情報が出てくれば出てくるほど、ありえないくらいずさんで驚くんだが…あの感じでATMとか運営してると考えると不安しか無いなぁ。
起こるべくして起こった7Pay問題の原因が社内体制(経営陣)にあることがよくわかる↓
意識低い系。
なんでこれサムネがヨドバシのカードなの
以上

記事本文: 7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた | 日経 xTECH(クロステック)