122 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:43:09.82 ID:jqP/7fCE0

セブン＆アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。 同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。 個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。 同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。

「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS（クロスサイトスクリプティング）脆弱性も指摘されていた。 「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け先などが書かれた注文履歴ページにアクセスする際に認証が求められず、URLさえ分かれば第三者も閲覧できるという問題も指摘されていた。同社は15日までに、認証なしではアクセスできないよう修正したという。 また12月14日ごろまで、セブンネットショッピングの前身・セブンアンドワイのユーザーの注文情報3件がGoogleなどで検索すると表示できる状態になっていた。 閲覧できたのは「公開ブックマークなどにURLを登録していた3件」の注文情報の一部で、この問題にもすでに対処しているという。 http://www.itmedia.co.jp/news/articles/0912/18/news100.html

-関連記事-
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明
セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が出る。
セブンアンドワイ、今度はソースコードを流出させる。

126 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:46:52.24 ID:kdEoln4u0

>>122
ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!

129 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 21:49:39.97 ID:HfbcEJti0

>>122
大おお大オオおおおおおおおおおおおおおおおおおお
ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!!!!

125 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:46:30.39 ID:jqP/7fCE0

びみょーだねこれ。

128 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:49:12.28 ID:MCL1KBJf0

>>122
>流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。

やっぱり何の心配もないようだ。
安心して買い物出来るな

131 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:50:41.12 ID:qZP/M/Rl0

>>122
＞閲覧できたのは「公開ブックマークなどにURLを登録していた3件」の注文情報の一部で、この問題にもすでに対処しているという。

　　　　　　　　　 　　　＿＿＿_
　　　　　　　　　　　／　　 　 　＼
　　　　　　　　 　／　─　 　 ─　＼
　　　　　　　　／ 　 （●） 　（●）　 ＼　　　いや、もっとあったから
　　　　　　　　|　 　 　 （__人__）　 　　 |
　 　　　　　　 ＼　 　　 ｀ ⌒´ 　　 ,／
　r､　　　 　r､／　　　　　　　　　　ヘ
　ヽヾ　三　|:l1　　　　　　　　 　　　　ヽ
　　＼>ヽ/ |｀ ｝　　　　　　　　　 　　|　|
　　　ﾍ　lノ `'ｿ 　　　　　　　 　　　　|　|
　　　　/´　 /　　　　　　　　　　　　 |.　|
　　　　＼. ｨ 　　　　　　 　 　 　 　　|　 |
　　　 　 　 |　　　　　　　 　 　 　 　 | 　|

143 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 21:59:31.78 ID:JAt4AC+I0

>>122
> 閲覧できたのは「公開ブックマークなどにURLを登録していた3件」の注文情報の一部で、この問題にもすでに対処しているという。

えっ SS見た感じだとURLは、はてブとかその手のSBMじゃなくて
思いっきりおたくのサイトのURLだろどう見てもw

149 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:03:39.69 ID:poPT7VXy0

Google に出ていたのは、本来パスワードで保護されている情報がそれなしで出ちゃった結果だよな。
でちゃったからこそ対処する必要が生じたわけで。

言っている事が完璧に矛盾しているな。まあ、これ読んで信じる消費者がどれだけいるか疑問だが、
本当に詐欺罪を視野に入れてもいいんじゃないかと思える状況になりつつあるな...。

133 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:51:14.61 ID:MxVXz++j0

XSS脆弱性は認めたわけね

340 ： ガラス管(東京都) ：2009/12/18(金) 22:18:36.58 ID:z3xUXg6J

デモ用ソースコード（笑）
XSSは実際に実証されてただろｗ
何が無いだよｗ

134 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:51:31.90 ID:jqP/7fCE0

google のは　3件どころじゃなかった気がするけど・・・

137 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 21:53:50.08 ID:3jJbAg/n0

うわあ
セブンマジキチ

139 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:55:29.59 ID:poPT7VXy0

ってデモ用ソースコードってなんだよ...。XSSネタは登録された個人情報流出
とは別の問題だし、Google に出てた件も話のすり替えでしかない。
素人が口先だけでごまかそうとするのも痛すぎるが、まず受けた注文に対し
て客にまともな説明をするのが先だろうに。

あ、今動いているのが全てデモなのか。本番サイトはいつ立ち上がるのかね。

141 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 21:57:13.36 ID:OEzOlPN20

誰か検索結果の画像送ってやれよ

144 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 21:59:53.44 ID:c+JVHqtE0

なんつーか
往生際悪すぎだろこのクソ企業

145 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:00:26.91 ID:M4BsFpp80

早々にイジメは無かったと断言する校長みたいなもんだ

261 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/19(土) 01:40:43.01 ID:YElPm/ZZ0

そういえばITめであの生地で
「個人情報を扱うページではXSS脆弱性はなく」
って書いてあるけどページ自体の個人情報のあるなし関係ないよな、XSSって

264 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/19(土) 02:13:17.12 ID:7zKxqZMy0

>>261
確かに普通のページでもセッションID盗られたら、
なりすましでログイン→個人情報確認
すれば普通に個人情報流出するよね。

こんな単純なことも社員は頭回らないのか？

142 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 21:58:56.02 ID:Gjz11stf0

流出は無いと断言できる根拠は何なの？

146 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:01:13.32 ID:jqP/7fCE0

>>142
無いことを証明するのは　難かしおすなぁ・・・

152 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 22:05:20.52 ID:Gjz11stf0

>>146
いや、そういうのじゃなくて
技術的に、流出することはありませんよ
みたいな根拠

159 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:10:15.02 ID:jqP/7fCE0

>>152
技術的に流出することがない根拠って　どういうこと？
何らかのフェールセーフがあるのかってこと？

すごい暗記能力の社員がいて、その人が10人分の名簿を記憶して社外に出たら　メンインブラックのぴかっで記憶が消えるとか？

169 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:16:08.89 ID:4zBZTj7X0

>>159
今までに確認された脆弱性に関する情報を開示し、その脆弱性を塞いだ論理的な説明が出来ればとりあえず今後の流出はないってことじゃね？
でも脆弱性まだまだ残ってるらしいが

387+1 ：おかいものさん [sage] ：2009/12/18(金) 22:04:24
>>384
>個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。

出来てない気がする

199 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 22:46:33.77 ID:GMoKbpy60

>>169
わろたｗ
対策できてねーじゃんｗｗ
もみ消す気まんまんだな。
鈴木さんには残念ながらごめんなさいしてもらおうか。

200 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:47:03.43 ID:NFo+u7zZ0

>>169
ほんとだｗ
対策できてるやつとできてないやつがあるみたいだね。
晒されてた他のやつもできたっぽい。

256 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/19(土) 01:22:07.88 ID:YyYZsUDx0

XSSの脆弱生でCookieに保存されたセッションIDが取得可能。
つまりセッションハイジャックで他人になりすましてのログインすることも可能であるわけだ。
なんでこんなザマでセブンは情報流出がないと言い切れるのだろうか・・

こんな感じで自分のCookieの値を取得出来る。

201 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 22:48:43.83 ID:jqP/7fCE0

だれかが　フィッシング詐欺　するの待ってるんじゃないの････････

205 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 22:55:54.89 ID:IOykad2/O

さあ、セブンのいい加減さ、脆弱性を摘出し、
無知な消費者が被害に遭わないよう世の中に警鐘をならす活動に今晩もいそしもうぜ！

273 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/19(土) 03:11:39.96 ID:7zKxqZMy0

0から作り直してたらたぶんXSS脆弱性みたいなバグは起こさないだろうけど、
おそらく古いプログラムをその場しのぎで改修して使ってるんだろうから
こんなに穴だらけになっちゃうんだろうな。

221 ：以下、名無しにかわりましてVIPがお送りします [sage] ：2009/12/18(金) 23:42:35.81 ID:f1T+tths0

いやはや悪い事をすると、こうやって言い訳してどんどん自分の首を絞めていくんですねぇ。。。

269 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/19(土) 02:45:28.00 ID:ve10gu/y0

絶対に許さない！絶対にだ

313 ：以下、名無しにかわりましてVIPがお送りします ：2009/12/18(金) 02:24:20.77 ID:3jJbAg/n0

　　　　　　 　　 　 ＿＿＿　　　　 ＿＿＿＿＿＿＿_
　　　　　＿___,..／　　　　　＼ 　　| |　　　　　　　　　　|
　　　 ノ　　 ／　 　社員　 　 ＼　| |　　　　　　　　　　| だめださっぱりわからん
　 ／　　 ／　　 　　　　 　 　 　 　| |　　　　　　　　　　| 　
　|　　 　 |::..　　　　　　　　　　 ...::::| |　　　　　　　　　　|
　ヽ　　　 -一ー_~､⌒)^),-､;;;;;:::／| |_＿＿＿＿＿＿__|
　　ヽ ＿＿＿＿,ノγ⌒ヽ)ニニ-￣　　　| |　　|

---

｜コメントを書く｜トラックバック