potatoさん
VIEW
オムニ7でも7payと同様の脆弱性 他人のメールアドレスにパスワード再発行送れる
オムニ7でも7payと同様の脆弱性が存在していた模様 パソコン版で確認したところ現在は修正されている
7Pay なにがヤバイの? 三行で
・あなたのメアドと電話番号を知ってる人なら
・誰でもとってもカンタンに
・アカウントを乗っ取れる。オムニ7(ネット通販)のまで全部! 全部だ!
※上記は生年月日を登録「していない」人が対象です。登録している人は、Twitterで風船が飛んだらおめでとう🤗
@omochimetaru セブン・系列アプリ、オムニ7のいずれでも送付先メールアドレスを指定できる。
1.3つのリカバリ選択肢
2. セブン・系列アプリ
生年月日・メアド・送付先
3. オムニサイト・アプリ
生年月日・メアド(任意の文字列の場合もある)・電話番号・送付先
4. SNS
ログイン画面に飛ぶ https://t.co/NYMGc7QSvd
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 t.co/2PkHOywbxV
セブンアイホールディングスのネットシステムはいつも問題起こしてるけど、本当にシステム屋の頭が悪いんだなぁと実感。7pay、脆弱性など。
利用規約に7pay不正アクセスで被害にあった場合、「一切責任を負わない」と記載されているため、お金は戻ってきません。7payなど。
ちなみにパスワードリセットがなされてもログイン中のセッションは切られないので、利用者は攻撃に遭ったことに気づかない可能性があります。
さすがに怖すぎるんで、7payからもomni7からもクレジットカード登録を消した。。。 チャージした1000円もどうにかしたいけど、近所(深圳)には7pay使えるセブンないからどうしようもないw
一部のユーザーから「パスワードリセットのメールが今でも飛んできている」という報告がありました。仮にそうだとすると #7pay や omni7 に登録したクレジットカードやチャージ残高に被害が及ぶことが想定されます。他人が知らないメアドに変えるかクレカ情報を削除し、残高を使いきりましょう。
7pay 昨日の時点でもいろいろ調べてたけど、7payに限った問題ではないので、オムニ7をとにかく早く止めるべき。この状況でサービス中断、メンテを入れるのは普通、常識、真理です、早く正気に戻ってください。とにかく止めて、一刻も早く止めたほうがいい。
決済は、こうまで単純だと「脆弱性利用され不正にチャージされました」と自作自演の被害補填狙いの人が出てきてもおかしくない。実際に換金するには実店舗で商品券を買うことになるだろうし、今の所セブンイレブンでしか使えないので、被害届+監視カメラと付き合わなどやらざるを得ないだろう
お金の問題はセブンイレブン実店舗でしか使えないのだから、最悪、犯人確保のためにわざと停止しないで泳がせてたりもすんのかな〜というのも考えたけど、ショッピングサイトの方で住所とか家族構成とか入力させてるので、こっちの方は犯人確保したり金銭の補償で解決する問題ではない。
セブンペイのハッキング頭良すぎる
セブンペイは、ネット通販「オムニ7」のシステムを使ってるんだけど、「オムニ7」は登録メアド,生年月日,電話番号が分かれば本人以外でもパスワードを変更できる。
そして、ネット通販は不正購入するとすぐに足がつくけど、
セブンペイなら足がつかない。
見事。
セブンペイハック、一体 何年前から準備していたんだ…。
大量の「登録メアド,生年月日,電話番号」のセットを知っていれば、
ハッカーはそれを自動入力するだけで、
セブンペイ経由でクレカを全額使用できる。
この足がつかない状況が揃うまで、オムニ7の脆弱性をあえて放置するとは。
見事すぎる。
7payとオムニ7、何でそんなことが起こるのか根本的な原因を追求した方がいいよ。何にせよITリテラシーの低さとセキュリティ意識の低さが根底にあると思うけどね。「こんなことが起こるなんて想定外だ」みたいな高度な話じゃないよね。
予算と納期が足りなかったみたいな意見も当然出るだろうけど、つまりそれはITリテラシーとセキュリティ意識が低いから必要な予算を必要だと認識できなかったってことだよね。セブン&アイ・ホールディングスが逆立ちしてもそんな予算出せないなんてことはないしね。
たぶん重要性や必要性が分かっていれば、予算と時間はそれなりに認められると思うんだよね。ただ特にIT分野では権限を持った人にそれを理解してもらうというのがとても大変で、理解にも説明にも限界と溝があるんだよね。だからこれってわりと日本企業全体の構造的な問題なのかもね。
#7Pay の不正利用問題。Omni7が話題になるけども、7iDは、オムニ7 のセブン-イレブン のほか、イトーヨーカドー、西武・そごう、アカチャンホンポ、ロフトのアプリで使われている。セブンイレブンは関係ないとか7Pay関係なくても、被害を受けたかもしれない人はかなり多い。まだ気付いてないかも。
7pay:セブンアプリの機能。クレジットカードなどからチャージして、QRコードで決済できるシステム。
オムニ7:セブン&アイのショッピングサイト。
7iD:セブンアプリ・オムニ7などを利用するためのID。生年月日とメールアドレスだけで、パスワードの再設定ができてしまう。
こんな感じ?
オムニ7の開発は4社連合か。責任はうちにはないからと責任なすり合いの真っ最中のような。分割開発なので、結合部分での不味さが確認漏れというか、ヲレんとこじゃないから穴指摘しなくていいかなで終わったか。4社集めるの収拾に余計時間かかってデメリットしか浮いてこないのじゃなかろうか?
