新着Pick
647Picks
Pick に失敗しました

人気 Picker
いや、これ全然ダメでしょう…😰😰😰
単なる広告サイトではなく、クレジットカードを登録出来てしまうのですよ。ダメダメアプリの教科書みたいなものです。
個別コメントする気になれないです…
特にこれは何の為なんだろう?

「送付先メールアドレス」です。なんと登録しているアドレスとは別のアドレスに、パスワードリセットメールを送信できる

この記事では、登録したクレジットカードに関する情報が乗っ取った人がどこまで見れるのか書いてありませんが、まさか、16桁全て表示可能なのでしょうか?そうであれば完全にアウトですね…
二段階認証がない件以外にも、かなり致命的な仕様ミスがあったと言わざるをえない印象です。

・二段階認証とはパスワードとは別に、電話番号のSMSなどで本人確認をするしくみのこと。パスワードが漏えいしたとしても、第三者が悪用できないようにするしくみ。セブンイレブンアプリには二段階認証がない。

・メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できる。

「iOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力される。つまりiOS版で生年月日を未登録の人は生年月日が分からなくてもパスワードを変更できる。
実際の画面スクショつきで解析されているわかりやすいコンテンツ
https://www.kaesakura.com/2019/07/omni7-7id-password/
結局生年月日も不要ですものね。

まだサービス停止してないんですか?
だとしたらそれこそ大問題でしょう。
これが事実だとすると、相当古い考え方のITベンダーさんを使っている可能性がありますね。

日本でシェアの高いiOSで生年月日が空のままだと「2019/1/1」が自動入力されるなどはハッカーが喜びそうなところです。

セキュリティは強くしすぎると。顧客の利便性を失ってしまいますが、基本、日本人より面倒くさがり屋の人が多いアメリカでの決済セキュリティを参考にすると、ここが最低条件なのだと分かるはずです。

ショートメッセージ認証など2段階認証を使わない金融機関はほぼ無くなってきてますし、来年にはFacebookの決済手段リブラなどが入ってくるので、そろそろセキュリティはグローバルスタンダードに追いつく時期かもしれません。
パスワードリセットの仕様が激甘だったんですね。。

1. 本人の特定がメアドと電話番号でOK(※生年月日未登録者は、生年月日のでの特定が控除される)
2. パスワードリセット画面URLを別メアドに転送できる

1の組み合わせでのクラッキングは、リストさえ入手できていれば「そのまま利用できるので」かなり容易い。(※ブルートフォース=(文字列組み合わせ等の)総当たりの工夫すらいらないので、、)

さらに2の仕様で、セキュリティの砦が機能しないことに。
1が突破できても、本人認証がもう少ししっかりしていれば、そう簡単にクラックできません。
二段階認証/SMS認証など(ケータイを保持している本人を特定する)本人認証の仕組みが、何故欠落しているのか。。
決済に関して何が求められているのか、ローソンが一番分かっているのかもしれない(結果論ですが)。Pontaやローソン銀行などはあっても、基本的に決済は他社を活用。

他のコード決済と一緒くたにされて、NPでは良い評価をされなかったローソンスマホペイ。これも改善は必要だとして、良い取り組みだと思うんですけどね。
登録してないメアドにパスワード再設定リンクを送信できるなんて、どう考えてもあり得ませんよね...。開発段階で誰も指摘しなかったのでしょうか?
生年月日と電話番号ではなく、シンガポールのようにマイナンバーと住所などにし、二段認証にするなど徹底しないと。それでも本気で狙われたら被害をゼロにはできなそうです。日本はマーケットが大きく、かつセキュリティが甘く、狙われやすいから気をつけないとなりません。
これは、恐ろしい。なぜこんな仕様に?生年月日と電話番号って入手しやすい個人情報のトップでは。。。
株式会社セブン&アイ・ホールディングス(英語: Seven & i Holdings Co., Ltd.、通称表記:セブン&アイHLDGS.)は、セブン-イレブン・ジャパン、イトーヨーカ堂、そごう・西武などを傘下に持つ日本の大手流通持株会社である。日経225及びTOPIX Core30構成銘柄である。 ウィキペディア
時価総額
4.31 兆円

業績