「Monappy」、ホットウォレット内の仮想通貨が盗難 - 高負荷時の不具合突かれる

同サービスでは、送金時にアプリケーションサーバへアクセスし、応答がタイムアウトした場合はロールバックするしくみだが、高負荷がかかり応答に時間がかかった場合、サイト側ではロールバックする一方、アプリケーション側では送金してしまう不具合が存在したという。

攻撃者は、8月27日から2018年9月1日にかけてギフトコードを大量に発行。8月29日から9月1日にかけて不具合が悪用されたという。また攻撃にあたり、少額のMonacoinを大量に送付して負荷を高めようとした行為も確認されたという。

同社は、モニタリング体制が不十分で、動作のテストや確認などに不備があったと説明。引き続き調査を進め、詳細について報告し、利用者への対応を進めるとしている。

（Security NEXT - 2018/09/03 ） ツイート

PR

関連記事

職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
メルマガアカウント侵害、スパム送信踏み台に - サロン向け器具メーカー
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
予約管理システム侵害、予約者にフィッシングメール - 京都市内のホテル
ランサム被害による個人情報流出を確認 - 保険事故調査会社
多治見市の複数小中校で不正アクセス - 迷惑メール1.6万件送信
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
研究者向けサイトに不正アクセス、非公開ページに書込 - 日本リウマチ学会
総当り攻撃で内部侵入、挙動検知してサーバ隔離 - タマダHD
約9カ月にわたりサイト改ざん、約100記事に不正スクリプト - 京大