キャッシュレス化の流れが次々と進む中、そんな時代を待ってましたと言わんばかりの輩が虎視眈々と、不正利用をもくろんでおります。もちろんハッキング等で不正にパスワードを盗むという行為は断じて許されざるべき問題ではありますが、とはいえ「鍵」をかけていない家にドロボウに入られても何も言えないのと同じく、ネット世界でも同じなのかもしれません。
7payのパスワード漏洩問題とは
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K— shao (Sho SAWADA) (@shao1555) July 3, 2019
7payのパスワード漏洩問題は、今朝騒がれ始めた問題で、パスワードを忘れた場合再設定ができるのですが、なんとその送信先を別のメールアドレスに送信することが出来るものです。つまり第三者がそのパスワードを入手することが出来るわけです。
こちらで今朝試しに別のメールアドレスにパスワード再設定を送信したところ、確かに別のメールアドレスに再設定メールが着信しました。
別のセブンイレブン系列のサイトでも問題
7Payの不正使用の件、相当にヤバいことが判明してきた。「メアドと誕生日が漏れてたら乗っ取り放題」かつ「Omni7などの同社系列のネット通販も乗っ取られる可能性」「現時点でまだセブン側は放置の姿勢」という3点。対策は「過去に一度も使ったことないメアドに変えておく」ぐらい?……
— atmk🐱 (@atmk) July 3, 2019
また別のネットサービス「Omi7」などの系列サイトでも同じような問題があるのだということです。試しにOmi7でパスワード再設定を設定しようとしたところ、既に対策されており「別のメールアドレス」に再設定はできなかった。
がしかし、その対策があまりにも「雑」過ぎるようで、CSSがわかる人であれば理解できるのかもしれませんが、display:none つまりパスワード再設定の送信先メールアドレス表示させないだけというおそまつさ。
omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww
こ れ は 大 草 原 が 広 が るwwwwwwwwwwwwwww pic.twitter.com/oPm53QTbdl— ねこ吸い (@8796n) July 4, 2019
確認したところ、確かにCSSで見えないようにしているだけで、Formの機能は動作していることを確認しました。つまり、根本的な解決にはならないわけです。
この問題をうけ、多くの退会者がでているようです。
改めまして
お恥ずかしい限りですが、セブン-イレブンアプリの乗っ取りにあいまして、7payの不正チャージにより30万円利用されましたあまりに対応がひどいので、順番に対応状況を記載していきます
ハッシュタグはシンプルに#7pay
— めるかば (@methuselah3) July 3, 2019
7payのおかげでオムニ7を解約できてよかったのかもしれない。。。
— ひーろー (@m_2_2_r) July 4, 2019
怖いのでomni7退会しようとしたらエラーで退会できないしログアウトしようとしてもエラーでログアウトできないのウケるウケねーよバカ!!!
— あぽ (@aposan) July 4, 2019
ネットが普及し、利用者の知識や情報力も上昇してきた昨今、サイトの「穴」をつっつくのは誰にでも簡単にできる時代になってしまったのかもしれません。
どうしても使いたい場合は、現金をおもむろに握りしめコンビニに駆け込んでアナログでチャージし、即座に使いきる。これしかありません。
セブンPay
https://www.7pay.co.jp/
