【7&Y】セブンネットショッピング 3

>>948
社員の方乙です。
ダウンロードしたファイルに以下のが見れたので、
確実に個人情報は外部に流出しています。
早くサイト閉鎖及び謝罪をしてください。

<%

/* パラメタ */
//お届け状況画面URL
String urlViewOrderInfo =
　　　"/" + ConstBksKind.BKS_SERVLET_ALIAS + "?init" +
　　　　　　　　　"&" + ConstBksKind.CONTROLLER_ID + "=" + ConstBksController.VIEW_ORDER_INFO + //CID
　　　　　　　　　"&" + ConstBksItem.ENC_ORDER_NO + "=" + dsp.getValue(ConstBksItem.ENC_ORDER_NO) + //暗号化受注番号
　　　　　　　　　"&" + BksIptShipChangeCtrl.C_KEY_CD + "=" + dsp.getValue(BksIptShipChangeCtrl.C_KEY_CD) + //暗号強化コード
　　　　　　　　　"&" + ConstBksItem.SHOP_CD + "=" + dsp.getValue(ConstBksItem.SHOP_CD); //SHOPコード

%>

でもほんとに下火になったらいやだ
潰れてしまえこんなところ
末端社員がどうとか知るか

>>952
本当に流出してるならセブンアイなり、しかるべき機関に届ければいいのに、
相手にされないからって２ｃｈで知識のひけらかしですか。

お前みたいな奴のせいで、大勢の注文者は何の補償も受けられないで終わりだよクソが。

>>948
自分はイーエスブックス時代から愛用してきたユーザーの１人だけど、
公式が一向に状況説明してくれないから、ここしか頼るところが無いんだよ。
価格誤表記騒ぎに便乗した人たちと同一視されたり
クレーマー扱いされるのは心外なんだけど。

そんな中で、いかにも不自然であからさまなセブン擁護のレスが
今まで愛用してきた一般ユーザーの神経をどれだけ逆撫でしてるかわからないのか？

知識のひけらかし？？？

セキュリティネタはここで公開せずにIPAに報告するのが吉

>>952
それ見ても意味分からないんだけどどの程度漏れてるの？
もしかしてパスワードとかも漏れ漏れなの？

氏名住所注文内容くらいなら諦めるけど

>>955
拡がって欲しくなかったけどクレカ利用の被害者に増えて欲しいみたいだよね

>>954
セブンに言ったってこっそり不具合直して知らない顔だよｗ
これまでの対応見ててわからない？
２ｃｈの顧客にデバッグさせて平気な顔してんだよ。
トラップにひっかかって、セブンからのアクセスばれたのが何人かいたはずｗ

>>958
諦めんなよ・・・
諦めんなよお前！！
どうしてそこでやめるんだ、そこで！

>>958
>>952自体では氏名住所注文内容くらいしか漏れていないが、
これまでの脆弱性からクレジットカード番号などが漏れている可能性も高い。

社員のむかつくレスがさらに怒りを増幅させているって分からんかね
こんなスレほっときゃいいのに
盛り上がってないのが分かっているなら

この流れから行ったら、２ｃｈ住民がセブンネットをクラッキングして情報流出に至ったって事になりそうだな。
マスコミ的にはそっちの方がニュースにしやすいだろうし。

OS, Web Server and Hosting History for www.7netshopping.jp
http://www.7netshopping.jp was running Apache on F5 Big-IP when last queried at 13-Dec-2009 15:55:02 GMT - refresh now Site Report
Try out the Netcraft Toolbar! FAQ

OS Server Last changed IP address Netblock Owner
F5 Big-IP Apache 7-Dec-2009 203.216.220.7 BroadBand Tower, Inc.

Site http://www.7netshopping.jp Last reboot unknown Uptime graph
Domain 7netshopping.jp Netblock owner BroadBand Tower, Inc.
IP address 203.216.220.7 Site rank unknown
Country JP Nameserver ns01.7andy.co.jp
Date first seen unknown DNS admin [email protected]
Domain Registrar unknown Reverse DNS unknown
Organisation unknown Nameserver Organisation 7&Y corp.

Netblock Owner IP address OS Web Server Last changed
BroadBand Tower, Inc. Sumitomofudosan akasaka bldg 7F, 4-2-6 Akasaka,Minato-ku,Tokyo 107-0052, Japan 203.216.220.7 F5 Big-IP Apache/2.2.3 Red Hat 14-Dec-2009
BroadBand Tower, Inc. Sumitomofudosan akasaka bldg 7F, 4-2-6 Akasaka,Minato-ku,Tokyo 107-0052, Japan 203.216.220.7 F5 Big-IP Apache 7-Dec-2009

>>954
だったら通報先を明記しろ。
セブンアンドワイは通報先を明記してないだろう。
(ちなみに前回http://www.7andinm.co.jp/に通報しても、相手にされなかった)

安心しろしかるべき機関として、
IPAには通報したから。

>>962
クレカ番号までもか…

これで何のアナウンスも無く問い合わせても漏洩はありませんって返信だなんてひどすぎる。

>>967
気づく方が無理だよ。
通常のログイン画面がそのままフィッシングサイトであったとしても何らおかしくないレベルの脆弱性があった。

あ〜あこんなとこに書いちゃってまあ…

>>964
もともと穴だらけでぐずぐずのソースを自ら公開しておいて、
クラッキングなんてでっちあげを、どうやってぶちあげられるのかkwsk

逮捕者が出ると聞いて

>>952
これどういう意味？

まー>>962が逮捕されようがセブンネットが通販サイト的に死亡しようが、どっちに転んでもメシウマだけどな。

重複でここ ↓ が残っているからねっ

【7&Y】セブンネットショッピング 3
http://namidame.2ch.net/test/read.cgi/shop/1260799511/l50

674 ：anonymizer2.blutmagie.de [] ：2009/12/17(木) 09:33:40.05 ID:f/beqSN1
☆新情報まとめ☆

http://yutori7.2ch.net/test/read.cgi/news4vip/1260953754/494
にてセブンのサーバーのデータが大公開されていることが発覚
（URL中に識別用の文字列は見られないので、文字通りの「公開」）


さすがのヤバさに10分程度で消されましたが、証拠はバッチリ保存済み


ZIP（ページ中段にダウンロードリンクがあるので、ページを開いて30秒ほど待ってから落としてください）
http://www.megafileupload.com/en/file/168296/-zip.html
魚拓
http://megalodon.jp/2009-1217-0830-18/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
http://megalodon.jp/2009-1217-0835-15/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esb2002/.svn/entries
http://megalodon.jp/2009-1217-0838-59/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0839-04/https://www.7netshopping.jp:443/bks.svl/%c0%ae%c0%ae/
http://megalodon.jp/2009-1217-0842-28/https://www.7netshopping.jp:443/esi.svl/%c0%ae%c0%ae/esi/include/.svn/entries


☆これがあると何が起きるのか☆
今までのXSSやCSRFの脆弱性の原因がわかります。
つまり、これを見れば新たな脆弱性も発見できると言うことであり、非常に危険な状態です。
もしかしたら個人情報へのアクセスURLや、社員用パスワードなんかも保存してあったりしてｗ
あくまで予想（ってことにしてあります）ですｗ

次スレ
【7&Y】セブンネットショッピング 4
http://namidame.2ch.net/test/read.cgi/shop/1261028423/

まぁ、こんなとこに中身を書くのは自重しろと言いたいが、
これまでのスレの状況からすると、中の人なり擁護したくて必死な奴が
ファビョッって自演書き込みせんとも限らんなｗ

>>975
そいつ悪い事してる自覚があるから串サイト経由で書き込みしてるんだろうな・・・

解析する知識はあってもどこに連絡すればよいかって知識はないのかｗ
こういう場に書くべきかどうか判断できないような脳ならまあうなづけるけど

>>967
会員登録情報が全て漏れていてもおかしくない状況ですよ・・・

>>976
重複先に使うべきだろ

公開ソース垂れ流し、脆弱性放置しておいて、
それを指摘されたらクラッキングとか。
まず用語の勉強からし直せと言いたいｗ

>>978
これまでのセブンの対応見てたら
そういうセキュリティの穴の証拠を見つけようとした善良なやつを
不正アクセスした犯罪者扱いにされるかもしれないから、念のために串経由で書いただけにきまってるだろ

>>982
しかも、本体に問い合わせても「そういう事実はありません」「大丈夫です」と断言しているｗ
不安や危険にさらされている顧客へ対し、まともな応対とは到底言えない。

>>979
社員さん乙です。

悪いことは言わないから、
今すぐ対策室とサイト閉鎖及び謝罪をしなさい。
年末年始で大変なのは分かるけど、
2月いってからだと行政が入るよ。

ちなみに何処にってIPAって言っているじゃん。
今日のもセブンネットに通報しているよ。
(危険なのは分かっているけど、可愛そうだから)

>>984
それ以前に電話に出ねぇwwwww
これさ、本気で通報・捜査ってことになったら、セブンまじで困るだろ。
この数日間の問い合わせ窓口の稼働状況とか、実態知りたいよな。
おれもやたら電話かけたけど、一度も繋がらなかったぞ。

とりあえず>>952の書き込みに関してはhttps://www.keishicho.metro.tokyo.jp/anket/other.htmに情報提供しといた。
あとは警察の判断に任せるわ。
サイトに穴があったからって、それを2chみたいな場で後悔するのが良いとは思えないし。

例えば自動車のドアロック解除に問題があったからって、公の場でそれを公開したらそれは犯罪の幇助だ。

IPAなりなんなりに報告すりゃいいだろうが
得意げにこんなとこに晒してるカスもセブンも両方芯でしまえ

>>979
電話だけじゃなくて、
相談メールアドレスも設置しなさい。
そんなに高いものじゃないでしょ。
メールサーバーなんて。

>>985
はいはい。あとは警察であんたの世間からズレた持論が通用するか試して下さいな。

どっちの味方とかそういうんじゃなくて
冷静に考えてこんなとこで晒すなんて
尋常じゃない

早く落とそう

>>991
同感
まじでどうなってるかわからずハラハラしてる人間もいるのに酷い

>952の歪んだ正義感で2000円の為替が上積みされる訳も無く、それどころか貰えない可能性も出てきた。
ｺｲﾂは満足かもしれんが、大多数の祭り参加者はお前の事恨むだろうよ。

そもそもセブンが尋常じゃないからなぁ...
冷静に適切な対応をするのは相当大変だよな

埋め支援

祭り参加者はこの際おいとけw

ｋｓｋ

1000なら次の不具合が発生する

1000だったら7脂肪

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。