こういう事象が起きると、ただでさえキャッシュレスの決済手段に慎重な中高年層の利用や、中小事業者の活用が狭まってしまいそう

わずが数日のオペレーションで、↓のような事故がそれほど頻繁に起こるものでしょうか？
↓
「ログインID・パスワードが分かりやすいものになっている」「クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている」等を挙げています

ローンチされてからまだ数日ですから、ID パスワードを入力する回数も限られているはずです。
PayPayの時の不正事故と比較して、アプリそのもののセキュリティのレベルがうたがわれませんか？

それとも、過去に同様なキャッシュバックキャンペーンに参加した人しか今回のキャンペーンに参加していないとか⁈
→いや、そんなことはないでしょう…

日本ではそれぞれの企業による○○ペイが多過ぎると思います。管理も大変になります。シンガポールではアプリでのQR決済も銀行と認証する仕組みで、上限も2000円など低く設定できます。また、クレジットカードも2段階認証は当たり前だし、数字のパスワードも6桁と長いです。強いパスワードでないと登録できないことも。たくさんある上に統制されていないから危険です。

バーコード決済が乱立してますが、非接触ICよりもセキュリティ的に劣るサービスを安直に導入する様子を不思議がっていました。自分のお金をより安全なテクノロジーで守るという選択で、バーコード決済が廃れていくと思います。

現状、店頭の電子決済で最高のユーザー体験を提供できているのはローソンです。「Apple Payで」と告げれば、iD、QUICPay、Suicaといった決済手段はどれでも受け付けてくれて、1どに決済とともにPONTAカードも読み込んでくれます。これがスタンダードになるべき簡単さです。ぜひ一度体験してみてください。

paypayで、すでに流出していたクレジットカード番号が不正に使えたとかのレベルとは、ちょっと次元が違うセキュリティの甘さ。

パスワードを忘れた際のページで、登録アカウントのメールアドレスと誕生日を正確に入力すれば、（悪意の第三者のものであれ）任意のメールアドレスでそのアカウントのパスワードが再発行できてしまうという仕様は、公開しているに近いというか、もはや犯罪レベルと言っても過言ではない。仕様設計の責任者はほんとに正直逮捕されていいレベルだろう。

なんでこんな仕様になったのかもかなり謎だが、現状サービス自体止めてないのもまた謎。知見のないマネジメントの判断にトップダウンで従わざるを得ない構造なのか。会社のガバナンスが相当に機能していないのだろう。

T Takuさんのコメントで更なるのけ反り。
生年月日未登録ならメルアドだけでパスワード再発行可能。別のメルアドに。

最悪ですね。

〈追記〉
T Takuさんのコメントにのけ反りました。
登録メルアドと生年月日わかれば、別のメルアドにてパスワード再発行できちゃう。

コレは超絶まずいのでは？
〈完〉


頑なに2段階認証をやらないとか。

ここまで来ると、不正利用者と設計・開発者がタッグ組んでるんじゃないかと思ってしまう。

ワザと？

チャージの認証パスワードに使えるのは英数字のみで、英字は小文字のみ。最初、これに気付かなかった。最大の16桁で設定したけど、何でこんな仕様なんだろう。わざわざパターンを少なくしている。

今回は、脆弱性が露呈した形になりますが、キャッシュレス決済額を増やすキャンペーンをポンポン打つ前に、万全な体制(システム、社内体制)を整えなければならないのは、セブンpayだけの話ではありません。

特にQRコード決済(店舗にQRコードが置いてあり、消費者が読み取るパターン)については、消費者が金額を間違えて入力し、それを店舗が確認せずにスルーしてしまう事象が発生します。

決済事業者はサービスのダウンロード数や導入数を上げるだけでなく、サービス自体を盤石にしたり、各店舗の「教育」にも力を入れたりする必要があります。

氏名生年月日とメールアドレスが分かるとパスワード再発行を任意のメールアドレスで受け取れてしまうという致命傷があったと聞きました。webアプリのコードとしての脆弱性対策のエキスパートでもそういうミスはなかなか発見できません。過去にはAmazonの欲しいものリストの実装上のミスで他人が数万円の支払いで数百キログラムの砂利を送りつける嫌がらせができてしまったりしました。コンビニ払いなら匿名で処理できてしまいます。これは何ら技術的な脆弱性はありませんでした。