連載
» 2018年03月13日 05時00分 公開

君はOsushiを食べたか、仮想通貨は混迷が続くセキュリティクラスタ まとめのまとめ 2018年2月版(2/3 ページ)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

投げ銭の代わりに「すしアイコン」を投げるサービスがスタート、大量の脆弱性により即日クローズ

 ネットで少額の投げ銭代わりに「すしアイコン」を送るサービスOsushiが2月1日に始まりました。

 これまでも似たようなサービスは幾つかあったため、早速使ってみたユーザーが、問題点をいろいろとツイート。即座にTwitterユーザーのおもちゃになってしまいます。

 ユーザーが見つけた危険な仕様は以下の通りです。

  • 同じユーザー名で二重に登録できることから、前のユーザーの情報を後のユーザーが乗っ取り可能
  • セッションIDが予測可能なため、これを使ってユーザーの乗っ取りができる
  • ユーザー名に特殊文字を含めると動かなくなる
  • ユーザーの同意なしにクレジットカード情報を記憶する
  • sourcemapがアクセスできる場所にあり、クライアントのソースコードが漏れていた
  • 退会できない

 さらに仮想のおすしとはいえ、クレジットカードを使って現金を送金できるサービスです。貸金業法など法律の面でも指摘が相次ぎました。資金移動業者としての登録が必要なサービス内容だったようです。

 このように多数の指摘があったことで、サービスを開始したその日のうちに閉鎖してしまいました。入金したお金はそのまま返還されたようです。

 突然大盛り上がりを見せたこのサービス、脆弱(ぜいじゃく)性がなければこれほどはやることはなかったという人や、以前Webサービスをたくさん立ち上げて炎上させることで有名になった「えがちゃん」を思い出している人もいました。

 その後、Osushiはサービス内容を一部変更し、3月7日にサービスを再開しました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。