TOP > 政治・経済 > 【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか | BUSINESS INSIDER JAPAN

【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか | BUSINESS INSIDER JAPAN

893コメント 登録日時:2019-07-24 06:36 | BUSINESS INSIDER JAPANキャッシュ

7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。セブン&アイHD...

Twitterのコメント(893)

@GO55333575 外失。セブンペイに関してはそういう次元の話ではない
セブンペイだけでなく、こっちも自分は使ってないからともかく、何やってるんだ……。
外注する会社はちゃんと与信通ってるような会社でも、そこが使っている外注先のまた使っているフリーランスの人、とかになってくると時々あるインシデントだ。
NTT data系がやらかしペイしたもよーΦωΦっ

己がSEだったらば、もっと分かるんだろな…
ただでさえ業績振るわないオムニ7がとんでもない鬼子だったってことか‥‥。全部は理解できなけど読んでて背筋寒くなった。
セブンペイgithubが誰でも見れる状態になってた可能性。。。
どんなメンバーで開発したのかとても気になりますね。。
これすごい好き
あーこんな事になってたから、サービス終了への流れが加速したのねー
パクって8pay作るぞ👨‍💻
セブンイレブンのシステムと言えばソースコードが漏洩してみたいですよね。ソースコードの漏洩自体は直接的な問題かどうかは微妙ですが、先日の不正アクセス等も含めて全体的な信頼度に疑問を感じる中でのソースコードの漏洩。。個人的にはかなりリスキーな気が。。解約したい
↑関連 。7/24の記事。
こんなのまであったのか……👀
会社公認でエンプラかプライベートの契約をすべきよい例に。。。ならないかorz
Discover(Google)から
プライベートリポジトリの課金ケチったのか社内手続きが面倒くさかったのか…
これプロプライエタリじゃなくてオープンソース化の試みとして誉める人はいないのか
ちなみに中の人的に気になった ニュースは、7pay絡みのこのインシデントです
冗談でしょう?
NTT data 系か。公開スキームでソースコードレビューでしょうか?(違うよ)
GitHubが悪いという誤解につながらないことを願います。
ソースコードは設計図ではなくて、設計を入力物とした成果物だろ。
フフってなった
これは現場の人間が抜けるときに残していった負の遺産か?というか爆弾か。
こんなひどい話なのかい… >
直書きされてたハッシュキー使われてたりして_(:3」∠)_
こっちの方が詳しいな。どちらにせよ、セブンの信用は地に落ちたな。
笑い事じゃないけど、笑えてしまうわw
ソース管理ガバガバすぎて、やばさしかない
まさか最近までパブリックになっていたとは🤭

コミットのメッセージって日本語も書けるんだね。
面白すぎんだろwまさかの公開レポジトリw
うそーん笑
やばいやん(語彙力)
7payは今後も使わない方が良さそうだわ
管理がダメダメすぎるだろ
コレって、、、オムニセブンアプリは大丈夫なのか、、、?
面白くて仕方ない
開発環境のソース管理が使い物にならないから、公開ソース管理を使ったのかな?
そうだよな!オープンソース化したらセキュリティのツッコミ来て堅牢になるもんな!!
ザル(;´・ω・)
制作会社の問題もあるだろうけれど、それをチェックしないとね・・・
盗まれちゃうよ
この会社のサービスは使わないようにしよう。セブンの商品クオリティが高いから商品は買うけど、Webサービスは使わない。商品開発いいのに残念。>
NowBrowsing: JAPAN:

設計図共有サイト.
仕事持ち帰り案件かな。。 /
アプリ運営にはセキュリティ管理もしっかり整える必要あるってことやね / (Business Insider Japan)
・GitのつもりでGitHubを使っていた
・ケチって無料版を使っていた

のだろうか。
7pay問題でオムニ7アプリのソースコードに漏洩疑い。GitHub上で誰でも入手可能だったか


クラウドは便利&不可欠だけど
セキュリティの監査/対策レベルが追いつかないまま
便利だから/不可欠だからと採用され
エンジニア側のフリーダム=セキュリティの穴になる事はままある
イット系の人が笑ってるけど、日本に限らずこの程度の管理しかできてない企業は案外多い
NTTデータMSEの責任問題になるんとちゃうか()
結局下請けだし、吊るされそう
「オムニ7のAPIサーバーの名前で検索すると(略)ヒットする状況だった」「リソースファイルに直接、“外部IDログインに必要なシークレット”などが直書き」  ちょ
もうダメだ.
うっそだろおおおおおいwwwwww
そんなギャグ聞いたことないぞ・・・!!!
辛い。。"リソースファイルに直接、“外部IDログインに必要なシークレット”などが直書きされている。"
うひゃああああ!!:
GitHubに問題があるみたいな変なミスリードがなければよいけど。どんな便利なツールでも使い方間違えると大変な事になる
2015から存在ってomni7本体ってことかな(IDパスワード発行、認証、その他)
-----
このソースコードはGitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく、削除される2019年7月10日付近まで公開状態が続いていた可能性が高い
えぇ。。
言ってるそばからコレですもの…😩

>7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。(記事より)

なぜ漏れてることを把握している?
なぜ一番にココが報じてる?

不思議なくらい情報が「早く」て「詳しい」んですよ…😥
うーん Git リポジトリのなかになぜか .svn ディレクトリが…やっぱおうちギョームのために開発コード持ち出ししたかった的なやつなんかな >
「セブン&アイHD広報…担当者は「本件については現在確認中です」とのコメントにとどめた。
7月中にセブン側が公表を予定する「今後の対応策」のなかに、ソースコードの漏洩の可能性についての情報が含まれるかどうかは、現時点で明確な回答はなかった」
えーっと…?
ぐへぇ・・・これ、エンタープライズつかったりとかすればええのに・・・。というはgit単体じゃだめだったん・・・?
これがほんとのオープンソース(そのまんま)
リポジトリ、プライベートにしてなかったのか。昔はプライベートだと有料だったが、けちるほどの金額ではなかった。

7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
普通はソースコード漏洩は知財管理上は問題になるかもしれないがセキュリティ・インシデントではないと思うが、APIキーやシークレットが平文でハードコーディングされてたんだとするとセキュリティ上も問題か / “【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑…”
SVN環境下でローカルコミットのためだけにGit使うのはわかるが、なぜリモートにリポジトリを作成してPushしてしまうのか。
ぱねぇ。。。
フリー素材とはたまげたなぁ.
ほんま草
<DMCAテイクダウンの申請者はNTT DATA MSE社>

<リソースファイルに直接、“外部IDログインに必要なシークレット”などが直書きされている>
公開リポジトリにしたのは設定ミスの線があるから百歩譲るとして一番まずいのはシークレットキーをgit管理下に置いたこと。
ひえ APIシークレットをハードコードしたソースをpublic repoにして開発してて、かつそれをforkしたrepoに対して著作権法申立したのか
ソースコードの流出自体がと言うより脆弱性があったら即アウト!ってことでしょうかね…
今日色々尋ねられたのはこれのせいか/
オムニ7とやらの7payに関連するソースコードが誰でも見れるようになってたとか、管理ガバガバかよ。
GitHub無料で使ってたのかな!?😰😰😰
これなぁ。
@nyory GitHubで電子証明書などが含まれたソースコードが公開されちゃってた
次から次に来ますね。
これは草
●一般に公開してはいけないソースコードをオープンソース状態に。→問題だが致命的ではない。
●シークレット、証明書も一緒に公開。→致命的。アウトー!
これはビックリ。。。

オムニ7アプリのソースコードがオープンソース状態だったってこと!?

利便性とセキュリティはトレードオフ⚖
MS・・・あっ・・・
話題に事欠かない!
そもそも公開すんなやだし
公開するにしてもシークレットキー情報とか乗せたらあかんやろ
バカにも程がある
7payのシステムに関わっていたのはDataなの?
無名のとこかと思った
怪しすぎてオムニ7の会員情報からクレカ情報削除した。退会したいけどアカチャンホンポ使う気がするんだよなぁ

7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか |
そういえばぼくも以前、未だリリースされてないアプリの通信先APIサーバ名(アプリ名.会社名/みたいなやつ)をググったらGitHub上のソースコードがヒットしたことあるよ /
一周回って好きだな
取材対象者がスクリーンショットだけとったわけないと思う

普通 clone してみるでしょ
これが当たりかまだわからないけど、GitHub EnterpriseもGitLabもあるのにね。
なぜ公開リポジトリに🤔
事実として、チャイナ政府はチャイナ国民に「スパイして来い」と強制命令できる法律ができてしまったので(例えば開発チームにチャイナ国籍の人がいた場合、政府が命令すればスパイになってしまう)、チャイナ国籍の人...
「秘密保持できている前提ではなく、漏れることも想定した上で監視する必要があるのではないか」
ほんこれ。設計大丈夫なら公開は無問題
原因解明における仮説立てるときって、あらゆる角度から考えることが大事なことだけど、冗談が本当になる類。
ええーー!!本当だったらどうかしてんなw
omni7 の(と思われる)ような大物ソース流出事件が明るみに出た結果、 GitHub への社内からのアクセスを制限しているSI企業が「パブリッククラウドは悪、我々が正しかった」みたいな態度をとって「そういう話じゃねえから」とタコ殴りにされるのを見たいです(見たくないです)
うわぁ…>
えぇʬʬʬ大公開時代…?
7payのソースコード誰でも見れたとか…(((^-^)))
IPAあたりでプロジェクトの駄目だったとこ一通り調査してレポートにまとめてくんないかな。
ファイルの上げ下げにgit使ってると思われるのだが、故に全部入りなのだろう。開発をここでしているわけではなさげ。USBメモリを禁じられた先にあるやつで、著名なライブラリもアプリもあるので閉じられない。 / “【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑…”
要はアカウント作ってプライベートレポジトリで運用する発想さえない発注をしていたってことだよね。おそらくは関係者で全員でみたいみたいなノリで。 / “ IN…”
業者の統制も、自社の秘密情報管理も何も出来ていない。
こりゃ本当にどうしようもないな。
7がpublicでGitHub使ってたんじゃなくて、コピーを誰かが公開したのかね。
えぇ・・・
“設計図にあたるソースコード”デジャヴ / “
時効だからへーきへーき🤪
漏れちゃう〜。(・∀・)
ソースコードが漏洩しようがセキュリティ関係ないだろ…と思って読んだら証明書とシークレットもセットで漏洩してたのかよwwww
マジかよギッハブ最低だな。
Enterpriseにする予算もなかったの
管理の杜撰さがかなり興味深い。しかしソースコードを「設計図」と呼ぶのは早く止めて欲しい。
うへえ、これは。。やばすぎ。 / (Business Insider Japan)
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか えぇ…
githubは不安よな。 接続、禁止します。(情シス部門より) /
オープンソースソフトウェアなんでしょ
なんだこれは??管理がずさんとかいうレベルじゃないな。これ読み進めながらソースにアクセスキーとか直書きしてそうとか思っていたら、まさかの。。。イヤー使う気にならんでしょこれは。

> 外部IDログインに必要なシークレット”などが直書きされている。
こういう話が出ると、すぐに日系企業は在宅勤務禁止、派遣先での作業共用、パソコン持ち出し禁止、クラウド使用禁止みたいな方向性になるから、ちっとも開発環境が改善しないって。運用の問題だし。
あちゃー、って感じだな。これ会社名わかってるみたいだしその会社終わったな。
既に終わってたら関係ないけど

【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
へええ。これ漏洩というより、下請け開発者が何も考えずプライベートじゃないgithubリポジトリに置いたんじゃ?まあ、漏洩なんすけどね。
セブン&アイHD広報のコメントを追加し、更新しています
これを受けて「GitHubを使用しないこと」という内規が作られたりWebフィルタリングでGitHub接続不可になる開発会社や、それを契約条件に盛り込む発注主が発生する未来が見える… / “【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だ…”
解約したってブコメが上に上がってたんだけどスターつけてる人とかむしろまだ解約してなかったんかと思ってびっくりしたわ。 /
これ

無能社長「GitHubまさかお前ら使ってないだろうな!!!」

っていう会社絶対でると思う
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか |

おやおや、良くある話と言えばそうだけど、やっぱり酷い話だった。
背筋が…🥶
漏洩していてもしてなくても根本的にダメなので、トラブルは避けられなかったと思うけど、輪をかける感じかな:
「GitHub上で2015年5月〜7月頃に公開されたもので、それ以来更新されることなく」<開発のために使ってたわけじゃないってこと? お試しclone? 謎すぎる…(´・ω・`) / | BUSINE…”
【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか |

あっ(詰み)
ぅゎぁ……………ないわ………
あーららw
これは・・・ますますまずいことに。
広くレビュー依頼してプルリクエストに誠実に対応しとけばもっと短期間に堅牢なシステムが構築できたのでは。惜しいところまできていた
どうせ開発したのはオフショア先の中国の会社だろう。NTTデータの管理側に技術力が無いのでモダンな開発環境の整備など不可。SVNしか使えない。 /【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。
Discover(Google)から
@DRVO_Project この話か(亀ですまんやで)
7payの開発元、「NTT DATA MSE」か ソースコードがGitHubに公開されていたことから判明
ソースコード流出してもセキュリティ的に影響ないように作れるはずなんだがな
もっと見る (残り約743件)

記事本文: 【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか | BUSINESS INSIDER JAPAN

関連記事