「7pay」 社長が「二段階認証」を知らないと話題に 被害総額5500万円 パスワード再発行の仕組みに問題

社長が設計するわけやないから、社長が「二段階認証」を知らんでも問題やないけど、このパスワード再発行の仕組みは問題ですな。

何で誰もストップかけんかったんやろ？

セブンペイ不正アクセス 900人に5500万円被害か

https://headlines.yahoo.co.jp/videonews/fnn?a=20190704-00420271-fnn-bus_all

headlines.yahoo.co.jp

セブン&アイホールディングスは4日午後、東京都内で緊急会見を開き、スマートフォン決済「7pay」の不正アクセスで、900人に5,500万円の被害があった可能性があることを明らかにした。

セブンペイ・小林社長は「被害に遭われたお客さまに対しては、深くおわび申し上げます」と謝罪した。

7payは、7月1日にサービスを始めたばかりだが、セブン&アイホールディングスによると、2日に利用者から「身に覚えのない取引があったようだ」との問い合わせがあった。

調べたところ、4日午前6時の時点で、およそ900人が不正アクセスを受け、被害額はおよそ5,500万円にのぼる可能性があることがわかったという。

7payは、すべてのチャージを停止したほか、新規の登録も近く停止する。

新規登録は停止してもサービスは継続するって事は、被害はこれからますます膨らむ事になるんやけど、ちゃんと対策はしたんかね？

Twitter上じゃ

#セブンペイ 5500万円の不正利用の緊急会見、話題の部分ここだ。

二段階認証を知らず、記者から説明を受けているセブンペイ社長。

特に衝撃なのが、最後の方に『二段階うんぬん、というの』とか言っててこれ完全に初めて聞いたの確定だな…セキュリティ意識が低すぎ… pic.twitter.com/jv91uVVf6y

— ポイン@ハイパーニート (@poipoikunpoi) July 4, 2019

社長の会見での「二段階うんぬん」って発言で、社長が二段階認証を知らんって事が話題になってるけど、そもそもの問題は

7payやオムニ7で他人のメールアドレスにパスワードが再発行できる仕組みになっている

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K

— shao (Sho SAWADA) (@shao1555) July 3, 2019

生年月日とメアドを知ってたら、違うメアドにパスワードリセットのURLを送るシステムになってるって、これはどう考えてもメチャクチャですな。

こんな仕組みになってるとこって見た事ないわ。

で

#7pay 「海外からのアクセスをブロックした」っていっても、深圳からアクセスできてしまうし、パスワードリセットについてた例の「送付先メールアドレス」欄はスタイルシートで非表示にしているだけで操作ひとつで再表示できちゃうし。。。 pic.twitter.com/b82VLR4puk

— shao (Sho SAWADA) (@shao1555) July 4, 2019

何ら対策してないのにサービスは継続と。

これもメチャクチャですな。

個人的には使ってないから何の問題もないけど、これは利用者にとっちゃとんでもない事やで。

しかも

7payのお問い合わせには「当社は一切責任を負わないものとします」との記述が

※当社所定の方法により、7payにログインし、7payマネーが第三者に使用された場合であっても、当社は一切責任を負わないものとします。

ってか(笑)

これはエゲツないな。

こんなパスワード再発行のシステムしといて「補償はしません」って宣言しとるんやからなぁ。

当然、これもTwitter上で炎上して

7payの不正利用は全額補償へ

https://headlines.yahoo.co.jp/hl?a=20190704-00000060-zdn_m-sci

headlines.yahoo.co.jp

小林氏は「全てを止めれば不正が働く余地はなくなるが、利便性とのバランスを見た。クレジットカードとデビットからのチャージを止めたことで、多額の不正利用は減ってきた。不正検知のシステムをより精密にしたこと、さらに被害に遭った場合でも全額を補償することも勘案して、現状のチャージ分をお持ちの人は使える状態にしている」と説明する。

一応、「全額保証する」と。

まぁ、「全額を補償することも勘案して」ってのが引っかかるけど、補償するつもりがあるなら大丈夫かもな。

ただし

https://headlines.yahoo.co.jp/hl?a=20190704-00000075-zdn_n-sci

headlines.yahoo.co.jp

被害額は全額補償としているが、被害者は具体的にどのような手続きをとればいいのか。小林社長は「警察に被害届を出してもらうのが基本的なプロセス。違うやり方がないか検討しないといけないと思っている」と説明した。今後はカスタマーサポートの人員を増加させるなどして、利用者のアフターサポートを充実させる。

警察に被害届を出さなあかんみたいやけどな。

これまた面倒くさいを事させますな。

まぁ、そうでもせんと嘘の申告に対応できんやろうからなぁ。

被害に遭った人は色々と大変ですな。

何にしても、7payだけやなくて、セブンイレブンの決済システムは全部こうなってるっぽいんで、利用者は十分注意しましょうって事ですな。