アカウント名:
パスワード:
ぶっちゃけユーザの話は信用できないからな。ヒントぐらいに思っておかないと、真に受けて調査するとあらぬ方向に進んでしまうことがよくある。自分が問い合わせる立場だったときは、「だから~だって言ってるでしょう。その情報、収集する必要あります?」みたいな感じだったが、調査する立場になると、「~だって言いましたよね?収集してもらった情報とぜんぜん違うじゃないですか」みたいな感じにw
> ぶっちゃけユーザの話は信用できないからな。
パスワードを使いまわしてないのに被害にあった件は、決済処理の専門家から、信頼できる証言が出てますよ。
7payのみならず、オムニ7の外部ID連携に大穴があって、やりたい放題だったって件も説明してないし、虚偽説明で誤魔化そうとしてるのは明らかでしょう。
『7iDやオムニ7は「他の同種のサービス」と比較し、遜色ない』という説明は失笑モノ。
オムニ7は影響範囲が自社以外にも及ぶので、こういう幕引きにしようとしてるってとこでは?
これ?https://twitter.com/methuselah3/status/1146333934587789312 [twitter.com]
嘘言っているとは思わないけど、勘違いの可能性は?エビデンスなんもないよね?他に例外の人はいないの?
調査会社と結託してセブンが隠蔽しようとしてる可能性も否定しないよ。でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
そういうことを言っている。
> これ?
この人です。
> 嘘言っているとは思わないけど、勘違いの可能性は?
その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。
> でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった・外部ID連携機能に穴があり、それを使った不正利用が可能だった
ってあたりを説明していない以上、セブンの言い分が信用できないのは確定しているのでは?
なお、オムニ7の脆弱性は昔から存在し、不正利用したグループはずいぶん前から今回の攻撃の準備をしていたでしょうから、パスワード使い回しによる不正利用が多数あったという点は正しいと思います。セブンの発表の問題点は、それ以外の不正利用もあったという点を誤魔化しているところです。
>その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。なんのエビデンスにもなってないから。ていういかそんなことを信用する根拠に?!絶句しちゃうな。過去のTweetも少し遡って読んだけど、それだけでは全面的に信頼できるほどの専門家とは思えなかったし。
それに勘違いや思い込みは専門家でも起こす。相手のスキルがあると思ってるからこそ、話を信じて確認を怠ってしまい、迷走することが多々あるの。
>・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった>・外部ID連携機能に穴があり、それを使った不正利用が可能だった
個人情報は漏れるかもしれないが、不正利用はできないよ。その辺の区別すらつけられずにはしゃいでた人たちか…。
> 個人情報は漏れるかもしれないが、不正利用はできないよ。> その辺の区別すらつけられずにはしゃいでた人たちか…。
え?脆弱性を利用してログインはできるわけですから、アプリでQRコードを表示することもできるわけで、既にチャージされているアカウントならば不正利用やり放題なのでは?
どういう根拠で不正利用が「できない」と主張されているんでしょう?
おっと失礼。不正利用というのはチャージされた高額のものを指すとばかり思ってましたので。
>なんのエビデンスにもなってないから。
それいったらあんたが必死に主張してる内容自体エビデンス皆無なんですが?自覚ないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
パスワードは使いまわしていない (スコア:-1)
ぶっちゃけユーザの話は信用できないからな。
ヒントぐらいに思っておかないと、真に受けて調査するとあらぬ方向に進んでしまうことがよくある。
自分が問い合わせる立場だったときは、
「だから~だって言ってるでしょう。その情報、収集する必要あります?」
みたいな感じだったが、調査する立場になると、
「~だって言いましたよね?収集してもらった情報とぜんぜん違うじゃないですか」
みたいな感じにw
Re: (スコア:1)
> ぶっちゃけユーザの話は信用できないからな。
パスワードを使いまわしてないのに被害にあった件は、決済処理の専門家から、信頼できる証言が出てますよ。
7payのみならず、オムニ7の外部ID連携に大穴があって、やりたい放題だったって件も説明してないし、
虚偽説明で誤魔化そうとしてるのは明らかでしょう。
『7iDやオムニ7は「他の同種のサービス」と比較し、遜色ない』という説明は失笑モノ。
オムニ7は影響範囲が自社以外にも及ぶので、こういう幕引きにしようとしてるってとこでは?
Re: (スコア:0)
これ?
https://twitter.com/methuselah3/status/1146333934587789312 [twitter.com]
嘘言っているとは思わないけど、勘違いの可能性は?
エビデンスなんもないよね?
他に例外の人はいないの?
調査会社と結託してセブンが隠蔽しようとしてる可能性も否定しないよ。
でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
そういうことを言っている。
Re:パスワードは使いまわしていない (スコア:1)
> これ?
この人です。
> 嘘言っているとは思わないけど、勘違いの可能性は?
その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。
> でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。
・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった
・外部ID連携機能に穴があり、それを使った不正利用が可能だった
ってあたりを説明していない以上、セブンの言い分が信用できないのは確定しているのでは?
なお、オムニ7の脆弱性は昔から存在し、不正利用したグループはずいぶん前から今回の攻撃の準備をしていたでしょうから、
パスワード使い回しによる不正利用が多数あったという点は正しいと思います。
セブンの発表の問題点は、それ以外の不正利用もあったという点を誤魔化しているところです。
Re: (スコア:0)
>その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。
なんのエビデンスにもなってないから。ていういかそんなことを信用する根拠に?!絶句しちゃうな。
過去のTweetも少し遡って読んだけど、それだけでは全面的に信頼できるほどの専門家とは思えなかったし。
それに勘違いや思い込みは専門家でも起こす。
相手のスキルがあると思ってるからこそ、話を信じて確認を怠ってしまい、迷走することが多々あるの。
>・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった
>・外部ID連携機能に穴があり、それを使った不正利用が可能だった
個人情報は漏れるかもしれないが、不正利用はできないよ。
その辺の区別すらつけられずにはしゃいでた人たちか…。
Re: (スコア:0)
> 個人情報は漏れるかもしれないが、不正利用はできないよ。
> その辺の区別すらつけられずにはしゃいでた人たちか…。
え?
脆弱性を利用してログインはできるわけですから、
アプリでQRコードを表示することもできるわけで、
既にチャージされているアカウントならば不正利用やり放題なのでは?
どういう根拠で不正利用が「できない」と主張されているんでしょう?
Re: (スコア:0)
おっと失礼。不正利用というのはチャージされた高額のものを指すとばかり思ってましたので。
Re: (スコア:0)
>なんのエビデンスにもなってないから。
それいったらあんたが必死に主張してる内容自体エビデンス皆無なんですが?自覚ないの?