1 名前:菅井きん 命がけの喫煙▲φ ★ 投稿日:2009/12/16(水) 00:14:48 ID:???0 BE:1766861748-2BP(101)セブンネットショッピング
『セブンネットショッピング』のサイトに、とある(あまりにもカンタンな)方法でアクセスするだけで他人の個人情報を
誰でも見られる状況になっていたのだ。インターネット掲示板『2ちゃんねる』では「気付かせないように偽のパスワード
入力画面などをつくって、ユーザーに入力させたりすれば、そのデータを転送させて盗むこと等が出来る」や「今後、
https://www.7netshopping.jp/ から始まるURLをクリックするだけでセブンネットショッピングのアカウント情報が盗まれ
る可能性があります」などの情報が書かれ、注意喚起されている。

また、実際に個人情報を盗まれてしまったのか、『Yahoo!ファイナンス』の掲示板には「セブンネットショッピングから注文して
いない本が届いた。さらに、もう一冊、注文していない本が届いた。どうやら私のクレジットカード情報を使って勝手に決済して
勝手に送りつけているようだ。電話してもお掛け直しください…。会社運営がメチャクチャだ」という人まで出現している。

<問題視されているセブンネットショッピングの危険性>
・悪意の第三者が登録ユーザーのパスワードやIDを盗むことができる “可能性” がある
・悪意の第三者が登録ユーザーのデータで勝手に注文することができる “可能性” がある
・登録ユーザー(他人)の購入履歴などを見ることができる
・登録ユーザー(他人)のクレジットカード情報ものぞくことができる(信ぴょう性は不明)

このことに関して編集部は『セブンネットショッピング』を運営する株式会社セブンネットショッピングに取材を
試みたものの、クレームの電話が殺到しているためか電話がなかなかつながらず。ようやくつながったものの、
「後ほど担当者から折り返し電話をする」とのこと。連絡が取れしだい、担当者からサイトの脆弱(ぜいじゃく)
性や情報漏えいに関して徹底して話を聞くつもりだ。

ソースと全文
http://getnews.jp/archives/41053
http://news.livedoor.com/article/detail/4505764/

5 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:16:26 ID:19QyBKbq0
入力ミスどころの話じゃねえじゃん
やっぱりシステムに重大な欠陥ありまくりなんじゃねえかwwww
こんなところに個人情報登録するのってかなり怖いなぁ



6 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:16:47 ID:PhRM0ehS0
また俺の個人情報漏洩かよ
これで何度目だよ



18 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:22:14 ID:G4vThAH30
コスト削減のためシナに委託したものの
使い勝手の悪いシステムで会社そのものが傾いてる
チケットぴあを思い出すw



28 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:26:49 ID:FFLqu7eEP
これは酷い
xss1xss2



これも酷い
503 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/14(月) 17:22:30.93 ID:+2BL117c0
"118.22.5.138","pc2.seven-ns-unet.ocn.ne.jp"

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 118.22.5.136/29
b. [ネットワーク名] 7NSHOP-NET
f. [組織名] セブンアンドワイ株式会社
g. [Organization] Seven and Y Corp.
m. [管理者連絡窓口] KF6549JP
n. [技術連絡担当者] KF6549JP
p. [ネームサーバ]
[割当年月日] 2009/11/05
[返却年月日]
[最終更新] 2009/11/05 15:38:05(JST)

こいつがトラップに引っ掛かりまくりなんだけど
どうにかしろよwwwwwwwwwwwwwww



24 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:24:22 ID:FFLqu7eEP
XSS対策すら出来てねえしログインもせず個人情報見れるし
商品ページには余計なもん見えてるし・・・

※XSS対策:クロスサイトスクリプティング対策
個人情報などを入力するテキスト部分に"<"や">"などのタグを利用し、
攻撃しようとしても無効にする対策
これが出来ていないとクッキーからIDやパスワードが盗まれたり、
攻撃者に入力した個人情報などを送りつけるようにできてしまう




29 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:26:52 ID:IgNVfb5HO
セブンにネット通販をオペレートする能力は皆無だな。

今ごろクレカ情報だだ漏れだろ。
完全に終わったな。
二度とつかわねえ。

この記事と先日の値付け間違いの件は広範囲に拡散させて周知徹底をはかるよ。



50 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:42:17 ID:Fe0VqEEr0
どこの業者が作った公表してくれー。

基本中の基本ができていないやつが作った通販サイトってことだろ?
十年前に逆戻りだなw



53 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:47:38 ID:FFLqu7eEP
>>50
システムへの飽くなき愛着が成長の原動力 (1/2)

「仕事もシステムも汗をかいてこそいい成果が生み出せる」と語る鈴木康弘社長に話を聞いた。
ITmedia 鈴木社長はシステムエンジニアとしてキャリアをスタートさせました。情報システムへのこだわりは強いと聞いています。

「24時間365日文句を言わずに働くシステムってすごいと常々思っています。
ときどき壊れたり、言ったことしかやってくれなかったりするのですが」。
鈴木社長のシステムへのこだわりは人一倍強い

http://www.itmedia.co.jp/enterprise/articles/0901/08/news001.html

すべてのシステムを外注する場合に比べて、

10分の1程度のコストで運用できます。

外注を挟まないため、営業や管理部門に掛か

る種々の費用の削減にも貢献しています。




57 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:51:22 ID:5VqBLqyI0
>>53
>外注を挟まない
これは苦笑するしかないなー。要するに自社開発? www



71 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:58:10 ID:jU7cRUtzP
>>63
2008年2月に一度話題に上がっているのがログに残ってる。



73 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:58:26 ID:gADg//iJ0
>>63
今回は誤表記である程度盛り上がったから見過ごされないだろ
見過ごすような社会であればクソ



74 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:58:55 ID:2ynu2KH20
>>63
知らん顔



70 名前:名無しさん@十周年 投稿日:2009/12/16(水) 00:56:59 ID:NBulO0GC0
これはひどい。

なぜ流出したのか
・ CookieのセッションIDの管理に問題があり、サーバー側でセッションIDが破棄された
直後に再びクライアントから破棄されたはずのセッションIDを用いてサーバーにアクセスすると、
セッションIDが必要なページ全てにアクセス出来てしまう問題。
・ 個人情報が掲載されているページにアクセスするために使っている暗号化されているはずの注文番号が、
極めて単純な置換しか行われていなかった問題。
・ 個人情報が載ったページがGoogleにキャッシュされている問題
・ 前述の方法でアクセスした他人のページから、領収書が発行できる問題




145 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:22:52 ID:oPvWnGC80
>>70
>個人情報が載ったページがGoogleにキャッシュされている問題


え??????????????????



160 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:25:56 ID:nOo1jYoK0
>>145

732 名前: スタンド(滋賀県)[sage] 投稿日:2009/12/14(月) 21:13:11.30 ID:pExOCPNa
Google検索で個人情報が丸見えだった件の証拠
ryuusyutyu1




76 名前:ノイズ 投稿日:2009/12/16(水) 01:01:02 ID:59lmg9jn0
すごい嫌がらせだなこれ

higai1

後、これが社内開発している人の実力 

xss2
 



94 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:08:08 ID:5VqBLqyI0
>>76
>後、これが社内開発している人の実力

これ、意味わからんのだが、どこが間抜けなの?



98 名前:ノイズ 投稿日:2009/12/16(水) 01:09:22 ID:59lmg9jn0
>>94
コメントアウトがまともにできていない。

!‐‐缶、カン、かん、ドリンク、どりんく、炭酸、タンサン、たんさん‐‐



79 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:04:20 ID:G4vThAH30
何だ 社内開発のシステムかよww
もちろんシステム開発経験者を中途で採用したんだろうな
まさか他の部署と同様に
素人を配置転換させて作らせたんじゃ。。
な、訳ねえかw



119 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:15:20 ID:G65UcIY/0
>>79
XSSの対策0とかどう見ても素人だろw
(今試したらさすがに直ってたけど)




131 名前:119 投稿日:2009/12/16(水) 01:18:29 ID:G65UcIY/0
>>119
と思ったらまだ対策されてなかったwww

http://www.7netshopping.jp/*******************





141 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:21:22 ID:2ynu2KH20
>>131
これ開くとどーなるの?



178 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:30:39 ID:G65UcIY/0
>>141
これは「XSS」って表示されるアラートが出るだけ
%3Cscript%3E ~ %3C/script%3Eに悪意のあるスクリプトを埋め込まれると、いろいろ悪さををされる

↓を参照するべし
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
XSSについて



113 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:14:23 ID:1UzU85n10
3 以下、名無しにかわりましてVIPがお送りします sage 2009/12/15(火) 22:51:08.46 ID:Lvb2x6+D0
新装開店のイトーヨーカドー通販サイトで、
セット売りが単品価格で表記されている!という内容のスレが立つ
皆前回の事もあってアホほど買う。売り切れ続出。

そして前回同様購入画面でも単品価格のまま、クレジット等の引き落としもされる
9時ごろからIYはサイト修正に一応はいる(だが見逃し多い。例:製図用シャーペン(2000本入)418円等 )

9、10時ごろ電話しはじめる奴続出。「在庫が確保できればきちんと発送する」とのこと。

9日に出汁の誤表記発見

出汁祭りのあとお詫び掲載(↓) 参加者には二千円分の郵便為替が送られるとあるが
どこまでが対象なのかは未定

10日フリーダイヤルといって掲載されていたカスタマーへの番号が
有料であることが発覚。IYはサイトのフリーダイヤルに訂正を入れ始める

消費者生活センターに相談
「え?それはフィッシングサイトじゃないんですか?」
「電話繋がりませんね、消費者庁へ通報します」
などなど頼もしいお言葉をいただく      

相変わらずメールこない、カード引き落としされたままお金返ってこない
カード決済済んでるのに注文履歴がなぜか削除されている

商品は届かない、電話は繋がらない、連絡もこない、そちらから連絡お願いしますって。

個人情報流出発覚!!問い合わせたら常に「確認中です」←今ここ




118 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:15:14 ID:3ysbGaUY0
4 以下、名無しにかわりましてVIPがお送りします sage 2009/12/15(火) 22:51:23.86 ID:Lvb2x6+D0
1.価格誤表記、お祭りワッショイ
2.クレジット決済されるも未出荷が続く
3.サイトリニューアル直後のクセに在庫未確保
4.フリーダイヤルが実は有料
5.誤標記商品を注文は強制キャンセルとなり、2のやつらに返金は未だない
6.お詫びページがPCホームページに掲載されるも、作り方がむちゃくちゃ、<!-- あ -->
7.携帯用サイトにはお詫び不掲載、もしもしディスってんですか?
8.「5の人たちには2000円あげるから許して」と発表するも、その方法等詳細不明まま
9.個人情報が素人でも入手可能なザルセキュリティ
10.カスタマーセンターに電凸するも、ほとんど出ない、でんわ でろ
11.文字コードを混在させていたために、サイト文字化け
12.問い合わせメールも返信来ない
13.メール返信来ても自動返信レベル、中身は無いに等しい
14. 初日分の誤表記以外、サイト上でも状況説明一切なし
15.池田 http://www.7netshopping.jp/*********************
***
16.注文完了していない物がガンガン決済される、でもマットレスはまだカートに入ったまま
17. セブンアンドワイ時代の利用者へリニューアルの連絡一切せず
18. 注文データの移行はリニューアル二日後から少しずつ実施、ただしリニューアル前の古いデータ
19. 移行された予約注文のうち一部は利用者どころかサポセンでもキャンセル不能に
20.緩衝材を使わないという斬新かつエコ魂あふれる梱包
21.インデックスが閲覧可能
22.古いページの残骸放置
23.XSS対策ゼロ、vipperの遊び場となる
24.社員および家族用のサイトが誰でも閲覧可能、人類皆家族
25.鯖 は 落 と さ な い
26. それでもISO27001認証取得済み

おまけ:単一の商品ページにアクセスが集中すると取扱不可になることが田代砲での検証により判明





191 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:38:11 ID:JCtPyLLkP
誰か、IPAには連絡したのか?



196 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:39:27 ID:wiYL/TWa0
>>191
通報済みで今XSSやらSSLの脆弱性を検証してくれてるみたい



198 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:39:40 ID:2DhlFWF/P
>>191
IPAからのメールでは、今回の件でたくさん報告がきてるとのこと



104 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:12:20 ID:wiYL/TWa0
こんなページが普通に存在するくらいだからな
誤表記は人為的ミスって言ってるけど
起こるべくして起こった感じ

http://www.7netshopping.jp/**************



208 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:42:08 ID:wiYL/TWa0
>>104で貼った商品が早速消されてるw

その勢いでこれも修正お願いします社員さん
http://www.7netshopping.jp/****************



211 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:43:42 ID:r3wrs2MX0







対応の早さが異常wwwwwwwww

これは社員がいますねwwwwwwww











215 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:45:16 ID:Z/5vBotv0
2ch使ってデバッグしてるんじゃねえの



217 名前:ノイズ 投稿日:2009/12/16(水) 01:46:34 ID:59lmg9jn0
>>215
それはガチ。
社員見てるぐらいだし。



248 名前:名無しさん@十周年 投稿日:2009/12/16(水) 01:57:34 ID:ZJ4KAUiL0
○個人情報が流出した人
セブンアンドワイのネットショップで買い物をした人全員

○流出したもの
住所・氏名・領収書

○どこに流出したか
インターネット。Googleのキャッシュなど

○誰が流出させたのか
セブンアンドワイ
ハッカーが不正アクセスしたとかではなく、セブンアンドワイ自身が自分で公開した



328 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:31:58 ID:XTtUg1s/0
>>248
いま自分の名前でググったら
それらしいページはなかったんだけど

大丈夫ってこと?




339 名前:ノイズ 投稿日:2009/12/16(水) 02:35:31 ID:59lmg9jn0
>>328
諦めなさい。アウトです。
前に規則性まで発見されていたみたいだし、
あなたの住所や名前や領収書は外部に漏れたと考えたほうがいいよ。
(場合によってはカード情報も)



264 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:05:16 ID:u49YbUji0
平然とCMを流し続けるこの企業が信じられない(´・ω・`)



269 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:06:17 ID:ZJ4KAUiL0
○何年前から見れるようになってたの?
22か月前から

795 名前:あ [2008/02/05(火) 00:39:05 ]
【ご注文控え】メールに記載のURLにアクセスしたらパスワード入れずに
注文内容が見れたりするけど、セキュリティ的にまずくない?

848 名前:あ mailto:sage [2008/02/15(金) 12:02:32 ]
注文した後に来るメールに載ってるURLってSSLで接続されるけど、
URLが平文だから意味ないような気がする。

892 名前:おかいものさん mailto:sage [2008/03/12(水) 12:41:47 ]
>>795
これ俺も思ってた。注文から1ヶ月以上経ってるのにまだ見れるし。
パスも何も入れず、住所、名前何もかも見れちゃうし、問題にならんのかな。

http://yomi.mobi/read.cgi/money6/money6_shop_1173311839




305 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:21:19 ID:xRRcxvm50
半年ぐらい前までセブン&ワイで買い物しまくってた俺も被害者になる可能性がありますか?




307 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:21:53 ID:P9O7qxnN0
>>305
おおあり。てかアウトかも



313 名前:305 投稿日:2009/12/16(水) 02:24:22 ID:xRRcxvm50
>>307
>>309
最近全然ログインしてないけど不味いの?
カード払いで払ってたけど......。

リニューアル後はサイトにすら全然触ってないんだけど....。



342 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:36:33 ID:2ynu2KH20
>>313
ログインとかいうよりも「(登録内容が)見られる」ということみたいだから
でもカード番号は大丈夫そうなんじゃなかったっけか



303 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:20:01 ID:Z/5vBotv0
http://www.7inetlab.jp/summary.html
開発はここ?
今年設立の会社だね



333 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:34:11 ID:nkDYwCTJ0
おいおい、P2Pに放流されてるじゃねーか W



340 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:35:47 ID:4YW5CX6B0
Shareに数百人分の個人情報詰め合わせが流れてるらしい
クレカとかやばくね



348 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:38:40 ID:P9O7qxnN0
>>333
>>340
ファイル共有ソフトに流れたとかもう笑えん。
セブン終了



393 名前:名無しさん@十周年 投稿日:2009/12/16(水) 02:53:06 ID:7CCSI/Zv0
いまだにサイトを開いてるのがビックリだw
普通はメンテナンスとかを理由に一時的に閉鎖するものだけどなw
関係者に危機感がなさすぎってことかw



445 名前:名無しさん@十周年 投稿日:2009/12/16(水) 03:12:23 ID:chBH5Vrl0
>セキュリティについて
> お客様の登録情報は、お客様のプライバシー保護およびセキュリティのため、パスワードで保護されています。
>弊社は必要がある場合、データ伝送を保護するために業界標準のSSL暗号を使用します。クレジットカード情報をはじめ、お客様によって入力された個人情報が
>セブンネットショッピングのセキュア・サーバに送信される際に、このSSL暗号によって通信が暗号化されます。
>そのため、外部の第三者にお客様の個人情報が読み取られることはありません。
>お客様のユーザーIDとパスワードはお客様を識別するものであり、大切なものです。
>不正アクセスのトラブルを避けるためにも、パソコンの利用を終わられるときには、必ずブラウザを閉じることをお勧めします。
>弊社は、お客様にサービスを提供するに当たり、ヤフー株式会社の技術的支援を受けております。

この大嘘つきがだだ漏れじゃねーか



※たぶん今までで一番ひどい流出騒動ですので、まだまだ問題は
大きくなると思います。