新着Pick
727Picks
Pick に失敗しました

人気 Picker
これはQRコード決済が危ないのではなく。単にセブンペイが脆弱な作りだっただけなのかと。二段階認証など対策が急務かと、中の人は大変だとは思いますが、、同日はじまったファミペイは対象クレジットカードを絞ったこともありますが、不正のチャージは今のところ大きなものはでていません。 普通のクレジットカードもスキミングや色んな被害がありICチップ搭載するなど進化したので、これで金融庁や消費者庁の指導等でQRコード決済の普及速度が遅くならなければいいのですが、、、
こういう事象が起きると、ただでさえキャッシュレスの決済手段に慎重な中高年層の利用や、中小事業者の活用が狭まってしまいそう
日本ではそれぞれの企業による○○ペイが多過ぎると思います。管理も大変になります。シンガポールではアプリでのQR決済も銀行と認証する仕組みで、上限も2000円など低く設定できます。また、クレジットカードも2段階認証は当たり前だし、数字のパスワードも6桁と長いです。強いパスワードでないと登録できないことも。たくさんある上に統制されていないから危険です。
わずが数日のオペレーションで、↓のような事故がそれほど頻繁に起こるものでしょうか?

「ログインID・パスワードが分かりやすいものになっている」「クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一のものになっている」等を挙げています

ローンチされてからまだ数日ですから、ID パスワードを入力する回数も限られているはずです。
PayPayの時の不正事故と比較して、アプリそのもののセキュリティのレベルがうたがわれませんか?

それとも、過去に同様なキャッシュバックキャンペーンに参加した人しか今回のキャンペーンに参加していないとか⁈
→いや、そんなことはないでしょう…
バーコード決済が乱立してますが、非接触ICよりもセキュリティ的に劣るサービスを安直に導入する様子を不思議がっていました。自分のお金をより安全なテクノロジーで守るという選択で、バーコード決済が廃れていくと思います。

現状、店頭の電子決済で最高のユーザー体験を提供できているのはローソンです。「Apple Payで」と告げれば、iD、QUICPay、Suicaといった決済手段はどれでも受け付けてくれて、1どに決済とともにPONTAカードも読み込んでくれます。これがスタンダードになるべき簡単さです。ぜひ一度体験してみてください。
T Takuさんのコメントで更なるのけ反り。
生年月日未登録ならメルアドだけでパスワード再発行可能。別のメルアドに。

最悪ですね。

〈追記〉
T Takuさんのコメントにのけ反りました。
登録メルアドと生年月日わかれば、別のメルアドにてパスワード再発行できちゃう。

コレは超絶まずいのでは?
〈完〉


頑なに2段階認証をやらないとか。

ここまで来ると、不正利用者と設計・開発者がタッグ組んでるんじゃないかと思ってしまう。

ワザと?
paypayで、すでに流出していたクレジットカード番号が不正に使えたとかのレベルとは、ちょっと次元が違うセキュリティの甘さ。

パスワードを忘れた際のページで、登録アカウントのメールアドレスと誕生日を正確に入力すれば、(悪意の第三者のものであれ)任意のメールアドレスでそのアカウントのパスワードが再発行できてしまうという仕様は、公開しているに近いというか、もはや犯罪レベルと言っても過言ではない。仕様設計の責任者はほんとに正直逮捕されていいレベルだろう。

なんでこんな仕様になったのかもかなり謎だが、現状サービス自体止めてないのもまた謎。知見のないマネジメントの判断にトップダウンで従わざるを得ない構造なのか。会社のガバナンスが相当に機能していないのだろう。
ちなみにファミペイはリリースから約1日で100万件のダウンロードを突破したと発表しています。
プレスリリース
http://bit.ly/2KU4OXH

【ファミペイ、公開から1日で100万ダウンロード突破 障害には「全力で対応する」】
https://newspicks.com/news/4023681
チャージの認証パスワードに使えるのは英数字のみで、英字は小文字のみ。最初、これに気付かなかった。最大の16桁で設定したけど、何でこんな仕様なんだろう。わざわざパターンを少なくしている。
注意喚起している場合じゃないですよ。一度パスワードを許可しているんだし、それがこれだけ多く不正ログインされた場合はシステム上の脆弱があると判断しないといけません。不正アクセスが高度化、巧妙化している中で、ユーザーに責任を押し付けることはもはや時代遅れ。サービス提供責任を放棄しているのと同じことだと思います。
このシステムについてはまだ把握できていませんが、パスワード強度の分析や多要素認証はなかったのでしょうか?もしなかったとしたら決済サービスとしてはかなり致命的。
株式会社セブン&アイ・ホールディングス(英語: Seven & i Holdings Co., Ltd.、通称表記:セブン&アイHLDGS.)は、セブン-イレブン・ジャパン、イトーヨーカ堂、そごう・西武などを傘下に持つ日本の大手流通持株会社である。日経225及びTOPIX Core30構成銘柄である。 ウィキペディア
時価総額
4.31 兆円

業績