【悲報】74の美容室で使われている ビレイのシステム 脆弱性だらけ!顧客情報流出の可能性!【美容室のリスト有】
「ウィンドウズ7」不正改変PC販売 名古屋の販売会社社長逮捕 セキュリティー不安、中国人グループ遠隔操作で不正送金被害も(1/2ページ) - 産経WEST
タイトル見て勘違いした
とりあえずまとめ
× 誤り マルウェアを仕込んで遠隔操作で不正送金させる目的で改造PCを販売して逮捕された
o 正しい報道 脆弱性のあるPCを販売したので、複数の端末が遠隔操作されて、不正送金などに利用された
o 猫さんの予想 SSLの脆弱性が複数あるやばいサイトを公開したため、そこから遠隔操作できるサービスを悪用されて、不正送金などに利用された
| コンピューターの基本ソフト(OS)である「ウィンドウズ7」を不正に改変したパソコンを販売したとして、警視庁サイバー犯罪対策課は31日、商標法違反の疑いで、名古屋市西区にあるシステム販売会社「ビレイ」社長の中村豊容疑者(69)と、同社の幹部ら数人を逮捕した。捜査関係者への取材で分かった。
捜査関係者によると、パソコンのOS改変を巡る摘発は全国初。ビレイは自社で開発した顧客情報の管理システムをパソコンやタブレットなどの端末に取り込み、美容室やネイルサロンなどに販売。このシステムが稼働しやすくなるよう、OSを改変していた。 OSが改変された端末はセキュリティー上の問題が発生し、別の中国人犯罪グループによる遠隔操作で、他人のインターネットバンキングの口座に不正アクセス。別の口座へ預金が不正送金され、約3千万円の被害が出ているとみられる。 |
まずどこの会社なのか探してみた・ω・
| 個人情報保護方針
株式会社ビレイ(以下「当社」と言います)は、理美容業界の顧客情報・技術情報・スタッフ情報等を管理するコンピュータシステム『 BINS 』の開発と販売、及び会員制トレーニングスタジオを運営する事業者として、個人情報保護に関連する法令を遵守することは、社会的責務であると考えております。当社では、お客様の個人情報を適切に保護し取扱うために、以下のプライバシーポリシーに従って個人情報保護マネジメントシステムを構築します。 個人情報は、利用目的の範囲に限定して取得・利用・提供し、目的外利用をいたしません。また、目的外利用を行わないための措置を講じます。 本方針は、外部公開するとともに全従業者に周知し、各自の教育、啓発に努め個人情報保護意識の高揚を図ります。本方針並びに個人情報に関してのお問合せ・ご相談・苦情等には、適切に対応いたします。 株式会社ビレイ 代表取締役社長 中村 豊 2015年4月15日 制定 |
あった
株式会社ビレイ Apps on the App Store
アプリはこちら
株式会社ビレイ|理・美容室顧客管理システムBINS
株式会社BILEI:会員ページ
BINS:株式会社ビレイ:BINS導入サロン会員様ページ
問題はここで使われているSSLだ。
SSL Server Test: www.bilei.jp (Powered by Qualys SSL Labs)
うわー ・ω・
PODLE も未対策なのだが、
CVE-2009-3555で、SSLセッションの乗っ取りが可能な脆弱性やRC4-MD5や RSA-DES-SHA の使用によって、暗号強度が 56bit しかない認証を使っているとか、CVE-2012-4929 によって平文の HTTP ヘッダを取得される脆弱性があるため情報漏えいが起こる可能性があるなどツッコミどころ満載 ・ω・
CRIME: Information Leakage Attack against SSL/TLS | Qualys Blog
SSL and TLS Authentication Gap vulnerability discovered | Qualys Blog
SSL 3.0 の脆弱性「POODLE 」とは? | トレンドマイクロ セキュリティブログ
これ、顧客情報が漏えいした可能性もあるんじゃない?・ω・
1. BINSマイアプリ
3. MARIEN BETH Web Reservation
5. Pap's de coiffeur【公式】予約・管理アプリ
6. ピュアハーツ
![ヘアデザイナーズサロン[es]×[jill]](http://is5.mzstatic.com/image/thumb/Purple122/v4/cc/ec/49/ccec4946-5fa6-6209-1a17-2d66b2eaef4b/source/100x100bb.jpg)
10. el sheart
11. Largo
12. ヘア&スパ レクレオ
13. 美容室SuCalmのアプリ
14. ehl:fa
16. POLO
17. 宗像市の美容室 SALA HAIR DESIGNの公式アプリ
18. RIDE hair 予約アプリ
19. HAIR ANTIC
20. uni hair&spa
21. LICO
22. SHOW
23. Brooch(ブローチ)
24. Hair & Face FORYOU Shizuoka 公式アプリ
26. ユージン
27. ティーズピーク
29. Hair Raul
31. SENSE(センス)
33. MISONO
34. blanca
35. ノベリネット予約アプリ
38. 美容室HAIR arcアプリ
40. trico hair web予約
41. SPICE
42. リーブル予約
43. Graffiti予約アプリ
44. aria(アリア)
48. hair fine Rosy
49. クレアヘアーメイクアプリ
50. EDEN Hair Design
51. LUKE
54. ヘアーサロン ティーダ 予約
55. BE hair
56. Above.
57. DUO (デュオ)
58. 鈴鹿市の美容室 VIVACE!
59. OSAYA
60. hair in ASK luce
61. ZAZA予約マイアプリ
64. ZERO(ゼロ)
65. 西尾市美容室セクション
66. ONLY-HOPE Hair・Esthetic(オンリーホープ ヘアー・エステティック)
67. confiance
68. Florent Web予約
69. イナバヘアワークス公式アプリ
70. JBP Manager
71. rich of hair アプリ
72. BeShineアプリ
73. Hill top hair design for life
74. Ruup
実に74種類の美容院に提供されている。
| ビレイは自社で開発した顧客情報の管理システムをパソコンやタブレットなどの端末に取り込み、美容室やネイルサロンなどに販売。このシステムが稼働しやすくなるよう、OSを改変していた。
OSが改変された端末はセキュリティー上の問題が発生し、別の中国人犯罪グループによる遠隔操作で、他人のインターネットバンキングの口座に不正アクセス。別の口座へ預金が不正送金され、約3千万円の被害が出ているとみられる。 |
って書いてるけど、これ、OSを改造して、脆弱性が生じたわけではなくて
元々、組み込みで、企業向けの管理画面から、遠隔操作できるサービスを提供していたのが、
ログインサイトに致命的な脆弱性があったため、
不正ログインされてそこから遠隔操作されたんじゃないかなと予測 ・ω・
多分、社長などが逮捕されたのは間違いじゃないかなと予想。
10年近く、脆弱性放置したのは問題だけどね! ・ω・
関連ブログ
ビレイ社長中村豊が販売したPCで数千万円を不正送金に利用 | スローライフを目指す男のブログ
| こちらはBINS会員専用ページへのURLです。 おかしなことに、普通だったらSSL通信(https)になっていないといけないのに通常のhttpページになっているところが変です。 |
ってかいてるけど、ちゃんとSSLページ自体はあるよ。
Translate
ややオフトピですが、大手ISPもひどいです。
Biglobe(メールログイン)、Nuro光、ぷららいずれもF。
この3社、プライバシーマークと安心安全マークとってるんですけどね
さらにBiglobeは有料でアンチウイルスゲートウェイ提供してるんですが、
ネット上をBasic認証でクレデンシャル飛ばしてました(少なくとも2015当時)。
ぷららも同様のサービスやってるけどDigestくらいはしてたはず