JavaScriptを有効にして閲覧して下さい。
詳細検索

検索対象

まとめダネ!
7payの仕様が頭悪…

7payの仕様が頭悪すぎる「メールアドレス・生年月日・電話番号を知っていれば不正利用可能」

セブンアイホールディングスのネットシステムはいつも問題起こしてるけど、本当にシステム屋の頭が悪いんだなぁと実感

更新日: 2019年07月04日

7payの仕様が頭悪すぎる「メールアドレス・生年月日・電話番号を知っていれば不正利用可能」

パスワード再発行が別のメールアドレスに送れる

通常、パスワード再発行というのは登録メールアドレスに送るものですが、7payは「好きな別のメールアドレス」に送ることができます。

そのため、メールアドレス・生年月日・電話番号さえわかれば、悪意のある第三者が自分のメールアドレスにパスワード再発行を送ることができるので、他人のアカウントにログインし放題です。

しかもiPhoneで誕生日を指定なしで登録すると、自動的に誕生日が「2019年1月1日」になるため、設定してない人は容易に誕生日を推測されます。

正直、作った人間の頭が悪すぎるとしか言えません。

ダヨ🐢@損切り連合@mejironiyouji

7payアカウント乗っ取りまとめ
①会員登録時に生年月日が登録してないと、強制的に2019年1月1日になる
②適当なメールアドレスにこの生年月日の組み合わせで、自分のメールアドレスにパスワード再発行メールを送れる
③他人のアカウントパスワードを変更し乗っ取り

役員退任レベルでしょこれ https://t.co/KyMMJ3PQNk

返信 リツイート

かなしみ@KA74MI

7pay、パスワード再発行で別のメアドに再発行メール送れる仕様だと聞いて試してみたけどマジだった
ただし生年月日の入力が必要

チャージ時には別のパスワードが必要だしリセットには秘密の質問がある https://t.co/aRhIJiOU0y

返信 リツイート

高木先生が説明

Hiromitsu Takagi@HiromitsuTakagi

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 https://t.co/OYTWVIgi5g

返信 リツイート

Hiromitsu Takagi@HiromitsuTakagi

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 https://t.co/EBI5bCexg5

返信 リツイート

Hiromitsu Takagi@HiromitsuTakagi

改行があると退会できないのも再現した。 https://t.co/gg1z4TshpX

返信 リツイート

J416@C95乙◆DY//wVKWks@j416dy

@HiromitsuTakagi 現時点で都道府県、生年月日、性別
Android版は必須
iOS版は任意ですね https://t.co/SKCY5WHS6M

返信 リツイート

セブンは不正アクセスの常連

セブン系のITシステムは昔から仕様がガバガバで、毎回やらかしています。
正直、基本的な能力がネットサービスをつくるレベルに達していません。
ここはネットサービスを作ってはいけないところです。

いますぐサービス廃止しろの声

ymmtinf@ymmtinf

アホすぎる仕様これ明日にでも廃止したほうがいいだろ

セブンイレブンの7pay不正利用、パスワード変更を別のメールアドレスに送信できる神機能によって被害増大 [725533158]
https://t.co/aI2kgo7Ogr

返信 リツイート

かおにゃお総書記@バンコク@kaolynn

7payの件を見て、きっとここに至るまでにこの仕様はまずいと声をあげた人は多かれ少なかれいたものの、こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁと思う位には大人になりました。

返信 リツイート

めるかば@methuselah3

ちなみにセブンペイは不正アクセスによるチャージ利用については「当社所定の方法によりログインしてチャージしたら、第三者であっても一切責任を追わない」ってどんだけ自信あるんだと https://t.co/iA8J4xvaWi

返信 リツイート

かおにゃお総書記@バンコク@kaolynn

私のわりかし近い経験だと、そういうことをうるさく言い続けた結果、うるせぇなじゃぁこうとでも書いときゃいいんだろ(お前も黙るだろ)、とされた対応がこういう一文を付け足す的なことだった。
https://t.co/dtfNqIHlCQ

返信 リツイート

コンビニ業界をアップデートせよ@cvsrenovation

昨日から各地で不正利用が続く7payだが、これはひどい仕様。誰がどう判断してこうなったのか検証すべきだが、その前に一旦サービスを止めるべきではないか。
https://t.co/lNasEjU7n4

返信 リツイート

ろく@C96 月曜日西き41a@roku572

意識低い系SEなので、7payのパスワードリセット仕様が仕様書に記載されてきたらおかしいと思いつつ実装しちゃうなぁ。
そのために偉い人が高い賃金で上流工程だけやってるんでしょ?

返信 リツイート

ろく@C96 月曜日西き41a@roku572

今回の7payのやらかしで、パスワードリセット時に別のメアドにリセットメール飛ばすような仕様が来たときに7payがそれで盛大にやらかしましたよ。って言えるようになったのは良いことかも

返信 リツイート

ᵞᴬˢᵀчαѕt205@yaST205

ザル仕様w
まともなアーキテクトとセキュリティエンジニアをケチって雇わないからこうなる(適当なこと言ってます🤪)
日本はサービス構築に金かけなさ過ぎ

開幕3日で不正利用被害報告、「7Pay」に何があったのか:モバイル決済最前線 - Engadget 日本版
t.co/FOFh0H5p5g

返信 リツイート

Naoki Kuzumi@kudzu_naoki

7payの頭おかしい仕様を実装するように言われたが仕様のヤバさを説明するほどの給料をもらっていないので実装みたいな

返信 リツイート

takuya870625@東急新玉川線上下販売中@takuya870625

7payの不正アクセス、IDが分かっちゃったら任意のメールアドレスにパスワードリセットメール送れるガバガバ仕様と知って乾いた笑いが出ている。責任者土下座ものじゃん。

返信 リツイート

ハチ@hachidesyu

7payがローンチされましたが、セキュリティが脆弱な為、クレカ不正利用が発生しているようです

・パスワードリセットが「生年月日」「メールアドレス」「電話番号」の3つで出来てしまう

・リセット通知を登録以外のメールアドレスが受信できること(別端末でも可)

仕様が甘々なので気をつけて下さい

返信 リツイート

dynamis (でゅなみす)@dynamitter

登録メールアドレス以外でパスワードリセットが可能とは斬新。
メールアドレス、生年月日と電話番号だけでリセット
更に生年月日は登録してなければ20190101になる謎仕様

本人確認なしでお金が下ろせる銀行のようだ。

金融庁には即日停止か全額返金の指導をして欲しい
https://t.co/auXnSGjMAU

返信 リツイート

1 2
  • follow us in feedly

コメントを投稿する

名前
本文(必須)

※コメントの番号の前に「>>」をつけると、そのコメントに返信できます(例:>>1)
※削除依頼はお問い合わせからメールでお願いいたします