potatoさん
VIEW
7payの仕様が頭悪すぎる「メールアドレス・生年月日・電話番号を知っていれば不正利用可能」
パスワード再発行が別のメールアドレスに送れる
通常、パスワード再発行というのは登録メールアドレスに送るものですが、7payは「好きな別のメールアドレス」に送ることができます。
そのため、メールアドレス・生年月日・電話番号さえわかれば、悪意のある第三者が自分のメールアドレスにパスワード再発行を送ることができるので、他人のアカウントにログインし放題です。
しかもiPhoneで誕生日を指定なしで登録すると、自動的に誕生日が「2019年1月1日」になるため、設定してない人は容易に誕生日を推測されます。
正直、作った人間の頭が悪すぎるとしか言えません。
7payアカウント乗っ取りまとめ
①会員登録時に生年月日が登録してないと、強制的に2019年1月1日になる
②適当なメールアドレスにこの生年月日の組み合わせで、自分のメールアドレスにパスワード再発行メールを送れる
③他人のアカウントパスワードを変更し乗っ取り
役員退任レベルでしょこれ https://t.co/KyMMJ3PQNk
7pay、パスワード再発行で別のメアドに再発行メール送れる仕様だと聞いて試してみたけどマジだった
ただし生年月日の入力が必要
チャージ時には別のパスワードが必要だしリセットには秘密の質問がある https://t.co/aRhIJiOU0y
セブンイレブンのスマホ決済・7payで弱点。メールアドレス・生年月日・電話番号がわかると第三者がパスワードリセットできてしまう
高木先生が説明
セブンは不正アクセスの常連
セブン系のITシステムは昔から仕様がガバガバで、毎回やらかしています。
正直、基本的な能力がネットサービスをつくるレベルに達していません。
ここはネットサービスを作ってはいけないところです。
「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。
いますぐサービス廃止しろの声
アホすぎる仕様これ明日にでも廃止したほうがいいだろ
セブンイレブンの7pay不正利用、パスワード変更を別のメールアドレスに送信できる神機能によって被害増大 [725533158]
t.co/aI2kgo7Ogr
7payの件を見て、きっとここに至るまでにこの仕様はまずいと声をあげた人は多かれ少なかれいたものの、こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁと思う位には大人になりました。
ちなみにセブンペイは不正アクセスによるチャージ利用については「当社所定の方法によりログインしてチャージしたら、第三者であっても一切責任を追わない」ってどんだけ自信あるんだと https://t.co/iA8J4xvaWi
私のわりかし近い経験だと、そういうことをうるさく言い続けた結果、うるせぇなじゃぁこうとでも書いときゃいいんだろ(お前も黙るだろ)、とされた対応がこういう一文を付け足す的なことだった。
t.co/dtfNqIHlCQ
昨日から各地で不正利用が続く7payだが、これはひどい仕様。誰がどう判断してこうなったのか検証すべきだが、その前に一旦サービスを止めるべきではないか。
t.co/lNasEjU7n4
意識低い系SEなので、7payのパスワードリセット仕様が仕様書に記載されてきたらおかしいと思いつつ実装しちゃうなぁ。
そのために偉い人が高い賃金で上流工程だけやってるんでしょ?
今回の7payのやらかしで、パスワードリセット時に別のメアドにリセットメール飛ばすような仕様が来たときに7payがそれで盛大にやらかしましたよ。って言えるようになったのは良いことかも
ザル仕様w
まともなアーキテクトとセキュリティエンジニアをケチって雇わないからこうなる(適当なこと言ってます🤪)
日本はサービス構築に金かけなさ過ぎ
開幕3日で不正利用被害報告、「7Pay」に何があったのか:モバイル決済最前線 - Engadget 日本版
t.co/FOFh0H5p5g
7payの頭おかしい仕様を実装するように言われたが仕様のヤバさを説明するほどの給料をもらっていないので実装みたいな
7payの不正アクセス、IDが分かっちゃったら任意のメールアドレスにパスワードリセットメール送れるガバガバ仕様と知って乾いた笑いが出ている。責任者土下座ものじゃん。
7payがローンチされましたが、セキュリティが脆弱な為、クレカ不正利用が発生しているようです
・パスワードリセットが「生年月日」「メールアドレス」「電話番号」の3つで出来てしまう
・リセット通知を登録以外のメールアドレスが受信できること(別端末でも可)
仕様が甘々なので気をつけて下さい
登録メールアドレス以外でパスワードリセットが可能とは斬新。
メールアドレス、生年月日と電話番号だけでリセット
更に生年月日は登録してなければ20190101になる謎仕様
本人確認なしでお金が下ろせる銀行のようだ。
金融庁には即日停止か全額返金の指導をして欲しい
t.co/auXnSGjMAU
これPayPayの初日の不具合なんかより10倍以上最悪www
システム屋としたら、素人が作ったんじゃないかと笑うレベルwww
マジでどうすんの?ww
【悲報】7pay、メールアドレス・生年月日・電話番号を知っているだけで不正利用できる神仕様だったことが判明 : IT速報 t.co/eun69OG3u9
7payアプリの開発に携わったエンジニアもつくりながら「ザルな仕様だな」と思ったに違いないな。が、「そういう仕様にしろ!」と上が突っぱねたらそれに従うしかないのがこの業界。
しかも、今回みたいなことになったら「やっぱな〜」と言っている暇はなく緊急対応させられるから張り合いがない。
それにしても新規登録したら、
生年月日: 2019/01/01
住所: 東京都
性別: 女性
で自動設定されるのは、金に関わるアプリでなくてもありえない仕様でこんな設計したら大目玉を食らう。
それを金に関わるアプリでやっちゃうのは技術力以前のお話。
7payの不正利用、ガバガバ仕様で始めたのとか国内電子テロか
又はスパイ入り込んでて流用させるのが目的だったんじゃないかと思うわ
使われた分の保障無しとか持ってかれた人はそのまま自腹とかキツすぎ
#7pay https://t.co/Q0fvaWc1RA