二段階認証がない件以外にも、かなり致命的な仕様ミスがあったと言わざるをえない印象です。

・二段階認証とはパスワードとは別に、電話番号のSMSなどで本人確認をするしくみのこと。パスワードが漏えいしたとしても、第三者が悪用できないようにするしくみ。セブンイレブンアプリには二段階認証がない。

・メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できる。

「iOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力される。つまりiOS版で生年月日を未登録の人は生年月日が分からなくてもパスワードを変更できる。

実際の画面スクショつきで解析されているわかりやすいコンテンツ
https://www.kaesakura.com/2019/07/omni7-7id-password/

決済に関して何が求められているのか、ローソンが一番分かっているのかもしれない（結果論ですが）。Pontaやローソン銀行などはあっても、基本的に決済は他社を活用。

他のコード決済と一緒くたにされて、NPでは良い評価をされなかったローソンスマホペイ。これも改善は必要だとして、良い取り組みだと思うんですけどね。

結局生年月日も不要ですものね。

まだサービス停止してないんですか？
だとしたらそれこそ大問題でしょう。

これが事実だとすると、相当古い考え方のITベンダーさんを使っている可能性がありますね。

日本でシェアの高いiOSで生年月日が空のままだと「2019/1/1」が自動入力されるなどはハッカーが喜びそうなところです。

セキュリティは強くしすぎると。顧客の利便性を失ってしまいますが、基本、日本人より面倒くさがり屋の人が多いアメリカでの決済セキュリティを参考にすると、ここが最低条件なのだと分かるはずです。

ショートメッセージ認証など2段階認証を使わない金融機関はほぼ無くなってきてますし、来年にはFacebookの決済手段リブラなどが入ってくるので、そろそろセキュリティはグローバルスタンダードに追いつく時期かもしれません。

パスワードリセットの仕様が激甘だったんですね。。

1. 本人の特定がメアドと電話番号でOK（※生年月日未登録者は、生年月日のでの特定が控除される）
2. パスワードリセット画面URLを別メアドに転送できる

1の組み合わせでのクラッキングは、リストさえ入手できていれば「そのまま利用できるので」かなり容易い。（※ブルートフォース＝（文字列組み合わせ等の）総当たりの工夫すらいらないので、、）

さらに2の仕様で、セキュリティの砦が機能しないことに。
1が突破できても、本人認証がもう少ししっかりしていれば、そう簡単にクラックできません。
二段階認証/SMS認証など（ケータイを保持している本人を特定する）本人認証の仕組みが、何故欠落しているのか。。

登録してないメアドにパスワード再設定リンクを送信できるなんて、どう考えてもあり得ませんよね...。開発段階で誰も指摘しなかったのでしょうか？

生年月日と電話番号ではなく、シンガポールのようにマイナンバーと住所などにし、二段認証にするなど徹底しないと。それでも本気で狙われたら被害をゼロにはできなそうです。日本はマーケットが大きく、かつセキュリティが甘く、狙われやすいから気をつけないとなりません。

個人的には「秘密の質問:母親の旧姓は？」とかも、自分以外に知りうる人がいるのでセキュリティレベルが下がると思っています。身近な他人が攻撃可能。