JavaScriptを有効にして閲覧して下さい。
詳細検索

検索対象

まとめダネ!
オムニ7でも7pay…

オムニ7でも7payと同様の脆弱性 他人のメールアドレスにパスワード再発行送れる

オムニ7でも7payと同様の脆弱性があった模様 現在は修正されていると思われる

更新日: 2019年07月04日

オムニ7でも7payと同様の脆弱性 他人のメールアドレスにパスワード再発行送れる

オムニ7でも7payと同様の脆弱性が存在していた模様 パソコン版で確認したところ現在は修正されている

漂流いかだ(KOR)@夏コミ金曜西く-05b FamicomHomebrewer🤔@KOR_jiyugiga

7Pay なにがヤバイの? 三行で
・あなたのメアドと電話番号を知ってる人なら
・誰でもとってもカンタンに
・アカウントを乗っ取れる。オムニ7(ネット通販)のまで全部! 全部だ!

※上記は生年月日を登録「していない」人が対象です。登録している人は、Twitterで風船が飛んだらおめでとう🤗

返信 リツイート

にわタコ@niwatako

@omochimetaru セブン・系列アプリ、オムニ7のいずれでも送付先メールアドレスを指定できる。

1.3つのリカバリ選択肢
2. セブン・系列アプリ
 生年月日・メアド・送付先
3. オムニサイト・アプリ
 生年月日・メアド(任意の文字列の場合もある)・電話番号・送付先
4. SNS
 ログイン画面に飛ぶ https://t.co/NYMGc7QSvd

返信 リツイート

shao (Sho SAWADA)@shao1555

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 t.co/2PkHOywbxV

返信 リツイート

shao (Sho SAWADA)@shao1555

ちなみにパスワードリセットがなされてもログイン中のセッションは切られないので、利用者は攻撃に遭ったことに気づかない可能性があります。

返信 リツイート

shao (Sho SAWADA)@shao1555

さすがに怖すぎるんで、7payからもomni7からもクレジットカード登録を消した。。。 チャージした1000円もどうにかしたいけど、近所(深圳)には7pay使えるセブンないからどうしようもないw

返信 リツイート

shao (Sho SAWADA)@shao1555

一部のユーザーから「パスワードリセットのメールが今でも飛んできている」という報告がありました。仮にそうだとすると #7pay や omni7 に登録したクレジットカードやチャージ残高に被害が及ぶことが想定されます。他人が知らないメアドに変えるかクレカ情報を削除し、残高を使いきりましょう。

返信 リツイート

mala@bulkneets

7pay 昨日の時点でもいろいろ調べてたけど、7payに限った問題ではないので、オムニ7をとにかく早く止めるべき。この状況でサービス中断、メンテを入れるのは普通、常識、真理です、早く正気に戻ってください。とにかく止めて、一刻も早く止めたほうがいい。

返信 リツイート

mala@bulkneets

決済は、こうまで単純だと「脆弱性利用され不正にチャージされました」と自作自演の被害補填狙いの人が出てきてもおかしくない。実際に換金するには実店舗で商品券を買うことになるだろうし、今の所セブンイレブンでしか使えないので、被害届+監視カメラと付き合わなどやらざるを得ないだろう

返信 リツイート

mala@bulkneets

お金の問題はセブンイレブン実店舗でしか使えないのだから、最悪、犯人確保のためにわざと停止しないで泳がせてたりもすんのかな〜というのも考えたけど、ショッピングサイトの方で住所とか家族構成とか入力させてるので、こっちの方は犯人確保したり金銭の補償で解決する問題ではない。

返信 リツイート

スイ@もぐもぐ🍎@straydrop411

セブンペイのハッキング頭良すぎる

セブンペイは、ネット通販「オムニ7」のシステムを使ってるんだけど、「オムニ7」は登録メアド,生年月日,電話番号が分かれば本人以外でもパスワードを変更できる。

そして、ネット通販は不正購入するとすぐに足がつくけど、
セブンペイなら足がつかない。

見事。

返信 リツイート

スイ@もぐもぐ🍎@straydrop411

セブンペイハック、一体 何年前から準備していたんだ…。

大量の「登録メアド,生年月日,電話番号」のセットを知っていれば、
ハッカーはそれを自動入力するだけで、
セブンペイ経由でクレカを全額使用できる。

この足がつかない状況が揃うまで、オムニ7の脆弱性をあえて放置するとは。

見事すぎる。

返信 リツイート

空色即是@sorairosokuze

7payとオムニ7、何でそんなことが起こるのか根本的な原因を追求した方がいいよ。何にせよITリテラシーの低さとセキュリティ意識の低さが根底にあると思うけどね。「こんなことが起こるなんて想定外だ」みたいな高度な話じゃないよね。

返信 リツイート

空色即是@sorairosokuze

予算と納期が足りなかったみたいな意見も当然出るだろうけど、つまりそれはITリテラシーとセキュリティ意識が低いから必要な予算を必要だと認識できなかったってことだよね。セブン&アイ・ホールディングスが逆立ちしてもそんな予算出せないなんてことはないしね。

返信 リツイート

空色即是@sorairosokuze

たぶん重要性や必要性が分かっていれば、予算と時間はそれなりに認められると思うんだよね。ただ特にIT分野では権限を持った人にそれを理解してもらうというのがとても大変で、理解にも説明にも限界と溝があるんだよね。だからこれってわりと日本企業全体の構造的な問題なのかもね。

返信 リツイート

ヒコウ技術者@kusawake

#7Pay の不正利用問題。Omni7が話題になるけども、7iDは、オムニ7 のセブン-イレブン のほか、イトーヨーカドー、西武・そごう、アカチャンホンポ、ロフトのアプリで使われている。セブンイレブンは関係ないとか7Pay関係なくても、被害を受けたかもしれない人はかなり多い。まだ気付いてないかも。

返信 リツイート

ねこ号@三日目ホ-34b@nekogoing

7pay:セブンアプリの機能。クレジットカードなどからチャージして、QRコードで決済できるシステム。
オムニ7:セブン&アイのショッピングサイト。
7iD:セブンアプリ・オムニ7などを利用するためのID。生年月日とメールアドレスだけで、パスワードの再設定ができてしまう。

こんな感じ?

返信 リツイート

kinneko@kinneko

オムニ7の開発は4社連合か。責任はうちにはないからと責任なすり合いの真っ最中のような。分割開発なので、結合部分での不味さが確認漏れというか、ヲレんとこじゃないから穴指摘しなくていいかなで終わったか。4社集めるの収拾に余計時間かかってデメリットしか浮いてこないのじゃなかろうか?

返信 リツイート

Shaula(しゃうら)@Shaula0x0400

ほほぅ?(オムニ7の退会ボタンを押した) https://t.co/Hgcvmu7GfP

返信 リツイート

1
  • follow us in feedly

コメントを投稿する

名前
本文(必須)

※コメントの番号の前に「>>」をつけると、そのコメントに返信できます(例:>>1)