1

1: 風吹けば名無し 2019/07/04(木) 08:15:07.63 ID:ZIzMSKCc0
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点

パスワードリセットのメールをリセット時指定するメールアドレスに送信させることができる仕組み
そしてパスワードリセットにはID(メールアドレス)、電話番号そして生年月日だけで可能
→メールアドレスとそれに紐付いた電話番号、生年月日さえわかっていればパスワードリセットすることが可能

しかも生年月日は任意の項目(iPhone版のみ)で設定しないと2019年1月1日に設定される仕組みなので生年月日を設定していない人のパスワードはメールアドレスとそれに紐付いた電話番号でリセットすることさえ可能

no title

記事全文
https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/

2: 風吹けば名無し 2019/07/04(木) 08:15:27.40 ID:5alAGJfdd
コンビニエンスやなぁ

6: 風吹けば名無し 2019/07/04(木) 08:16:31.30 ID:H5o755jv0
素人が作ったんかよ

5: 風吹けば名無し 2019/07/04(木) 08:16:28.60 ID:4w7+6zVn0
不適切な退会理由

no title

9: 風吹けば名無し 2019/07/04(木) 08:17:07.86 ID:ANzXpw73x
>>5

170: 風吹けば名無し 2019/07/04(木) 08:35:45.34 ID:808uHAyua
>>5
どっちが不適切なんだろ

189: 風吹けば名無し 2019/07/04(木) 08:37:43.54 ID:ANzXpw73x
>>170
実際は改行があかんらしい
内容はセーフ

563: 風吹けば名無し 2019/07/04(木) 09:10:12.57 ID:oLo+hqnyM
>>189
それはそれでアカンやんけ!

15: 風吹けば名無し 2019/07/04(木) 08:18:15.84 ID:4w7+6zVn0
SNSで生年月日調査する必要すらないんだよなあ


no title

no title
no title
no title
no title

27: 風吹けば名無し 2019/07/04(木) 08:20:07.51 ID:FvKQIiJIa
>>15
こんなん即刻サービス停止すべきやろ

44: 風吹けば名無し 2019/07/04(木) 08:22:20.97 ID:OcklZmJ/0
>>15
これはひどい

53: 風吹けば名無し 2019/07/04(木) 08:23:19.35 ID:iu1PtP6dd
>>15
担当者のクビ飛ばせや

175: 風吹けば名無し 2019/07/04(木) 08:36:19.63 ID:HwCAi9ILd
>>15
ガバガバ仕様書のせいでこんなのが出来上がるんか?

191: 風吹けば名無し 2019/07/04(木) 08:37:46.22 ID:fkiW+SDGM
>>175
そういうもんや
下請けの開発会社は
設計書と違うもん作ったら訴えられるからな

294: 風吹けば名無し 2019/07/04(木) 08:47:34.55 ID:xMCVMCsiM
>>191
設計書で曖昧なところって担当者間で詰めないのか?

322: 風吹けば名無し 2019/07/04(木) 08:50:19.04 ID:fkiW+SDGM
>>294
セブン側の担当がど素人か、

面倒くさい他社とおんなじっぽく適当にやっとけ!!
て感じでコンサルなりベンダーに丸投げの対応だったんじゃないか

357: 風吹けば名無し 2019/07/04(木) 08:53:37.05 ID:D1zo/Y3a0
>>322
まあ丸投げだろね
生年月日はレジのあれとおなじでセブンイレブンとしては譲れなかった結果こうなったんだろう
ならなぜ入力必須にしなかったのか

410: 風吹けば名無し 2019/07/04(木) 08:57:48.22 ID:fkiW+SDGM
>>357
個人情報云々でジジババとか拒絶反応する連中でも気軽に利用できるよう配慮したとか?

431: 風吹けば名無し 2019/07/04(木) 08:59:23.80 ID:Ghq7DEujp
>>410
気軽に不正利用されてて草

455: 風吹けば名無し 2019/07/04(木) 09:01:14.86 ID:D1zo/Y3a0
>>410
いやここは情報要求の鉄則だよ
どうしてもほしいものは入力必須にしなきゃいけないし
どうでもいいものは未入力なら未設定にする
かってにデフォルト値を設定するのは論外

196: 風吹けば名無し 2019/07/04(木) 08:38:15.63 ID:Er1MwXeYM
>>15
入力しないで登録できるシステムとか

413: 風吹けば名無し 2019/07/04(木) 08:58:09.08 ID:Kl6evYKy0
>>15
無茶苦茶もええとこやんけ

21: 風吹けば名無し 2019/07/04(木) 08:19:22.10 ID:RLre26rVM
これわざわざ使わんでもLINE PayかPayPayでええやん

33: 風吹けば名無し 2019/07/04(木) 08:20:44.41 ID:JrWuzN4c0
送付先メールアドレスを別に設定出来るのかよ
不正し放題じゃん

38: 風吹けば名無し 2019/07/04(木) 08:21:19.56 ID:TztZFbxNp
PayPay先輩の失敗見てなかったんか?

46: 風吹けば名無し 2019/07/04(木) 08:22:25.44 ID:4w7+6zVn0
>>38
PayPay先輩の10段階くらい下のレベルに行っとるぞ

54: 風吹けば名無し 2019/07/04(木) 08:23:30.98 ID:TztZFbxNp
>>46
悲しいなぁ

64: 風吹けば名無し 2019/07/04(木) 08:25:05.20 ID:z7vYEF+qd
プログラマとかこれでいいの…?とか思いながらやってたんやろなぁ

72: 風吹けば名無し 2019/07/04(木) 08:26:09.33 ID:EmKD5oPcp
>>64
これはアカン…でも直すの面倒くさいし納期もヤバイから気付かなかったことにするかって感じやで

65: 風吹けば名無し 2019/07/04(木) 08:25:06.55 ID:GbnabaPS0
これ規約に「不正使用された場合の責任は負わない」って書いてあるんやけど
保障しないと世間的にアカンよな

70: 風吹けば名無し 2019/07/04(木) 08:26:00.31 ID:UNOSFGzB0
>>65
流石にこれだけガバガバのセキュリティだとその規約無効やろ…

274: 風吹けば名無し 2019/07/04(木) 08:45:39.97 ID:OyGfF2RF0
>>65
利用者に過失がある場合にはそれでええけど7側のシステムの欠陥が原因ならそれは通らん

66: 風吹けば名無し 2019/07/04(木) 08:25:24.52 ID:lsEtqPo9a
nanacoのアプリで十分なのに手出すからやろな

93: 風吹けば名無し 2019/07/04(木) 08:29:26.58 ID:vm/WsOJi0
中国は現金に信用ないからQR決済流行ってるけど日本は逆やな

139: 風吹けば名無し 2019/07/04(木) 08:33:39.13 ID:+6emVHGW0
>>93
中国ではバーコード決済をしようとして表示させてるやつのを肩越しにスマホで撮って不正決済させる手法が広まったので最新はNFC等非接触決済だぞ
日本に追いついた

146: 風吹けば名無し 2019/07/04(木) 08:34:24.80 ID:YA+fOoP7a
>>139
かしこくて草

160: 風吹けば名無し 2019/07/04(木) 08:34:58.35 ID:fkiW+SDGM
>>139
バーコードの上に別のバーコード貼るとかもあるらしいな

126: 風吹けば名無し 2019/07/04(木) 08:32:31.94 ID:+tuCpheXd
パスワードリセットってだいたいどこもメールアドレスにメール送るのが本人確認やろ
特にこれが悪いとは思わんわ

159: 風吹けば名無し 2019/07/04(木) 08:34:56.78 ID:SJecLkf50
>>126
no title

311: 風吹けば名無し 2019/07/04(木) 08:49:35.96 ID:RKU+wYKdM
>>159
登録アドレスに送らなくていい仕様にする意味がわからん

143: 風吹けば名無し 2019/07/04(木) 08:34:10.68 ID:v/L5MwhS0
セブンの奢りがすぎてとんでもないことになっとんな

211: 風吹けば名無し 2019/07/04(木) 08:39:27.87 ID:8AqejJUir
どうせPayPay楽天PayLINE Payの3つしか生き残らんやろ

214: 風吹けば名無し 2019/07/04(木) 08:39:46.07 ID:AhkDdIFla
担当者と無能ベンダーのクビが飛ぶのだけが楽しみ

231: 風吹けば名無し 2019/07/04(木) 08:41:08.41 ID:OyGfF2RF0
知り合いのやつならだいたいいけるやんこれ

258: 風吹けば名無し 2019/07/04(木) 08:43:19.80 ID:AF46PkGq0
ふぁみぺい→鯖が貧弱でまともにつながらない
7ぺい   →メルアドさえわかればクレカ不正利用可能

やっぱり現金が最高だな

268: 風吹けば名無し 2019/07/04(木) 08:44:48.31 ID:fkiW+SDGM
>>258
Suicaやろ

265: 風吹けば名無し 2019/07/04(木) 08:44:23.77 ID:zasuPZ0+d
7pay導入や→うん
nanacoはゴミにするで→なんでそんなことするのか

273: 風吹けば名無し 2019/07/04(木) 08:45:39.14 ID:4w7+6zVn0
>>265
これはほんま意味不明
利便性低下させとるだけやん

328: 風吹けば名無し 2019/07/04(木) 08:51:00.35 ID:BDGiM995d
PayPay「20%還元祭やるで!」
メルペイ「なんのこっちは50%や!」

7pay「おにぎり1個あげるで」

466: 風吹けば名無し 2019/07/04(木) 09:02:11.57 ID:G4+q+j6K0
そもそも初日に繋がりづらいとかいう最悪の悪手で不便さアピールしたみたいやしもう無理やろ

474: 風吹けば名無し 2019/07/04(木) 09:03:12.62 ID:V1rImWe70
面倒やろ?生年月日自動で登録しといてやるわ!
→電番とID(登録メアド)だけで別のメアドにパスワードリセット送信!
ばかすぎ

499: 風吹けば名無し 2019/07/04(木) 09:04:53.85 ID:9M7Xw7Kg0
中国父さん「日本のSuicaセキュリティをしっかり学んだ」
日本「QR決済が儲かる?うおおお速攻で導入するぞおおお!!!」


551: 風吹けば名無し 2019/07/04(木) 09:09:24.53 ID:89i3+KRU0
>>499
目先の利益しか見てない日本企業の末路みたいなのを垣間見れるな

505: 風吹けば名無し 2019/07/04(木) 09:05:23.67 ID:lmaCWdika
これセブンイレブン以外のコンビニで使えないってま?

511: 風吹けば名無し 2019/07/04(木) 09:06:12.44 ID:WReqIPUYa
>>505
そりゃ使えないやろ

519: 風吹けば名無し 2019/07/04(木) 09:06:52.28 ID:lmaCWdika
>>511
ファーwww誰が使うねん

522: 風吹けば名無し 2019/07/04(木) 09:06:59.10 ID:uPd7LMv/0
なんで再設定のメールアドレスを別のメールアドレスに送れる仕様なんかにしたんやろ
作ってるほうが任意に仕込んだのか疑われるレベル

555: 風吹けば名無し 2019/07/04(木) 09:09:38.97 ID:BH2UvHttM
セブンペイ不正利用 専門家「同じID、暗証番号使わず定期的に変更を」
https://mainichi.jp/articles/20190703/k00/00m/020/294000c

ん?w
パスワード使い回さなければ防げたらしいぞw

566: 風吹けば名無し 2019/07/04(木) 09:10:37.22 ID:IN3HBmama
>>555
暗証番号の定期的変更は無意味ってのが今のトレンドやろうに
どこの年寄りの意見なんや?

567: 風吹けば名無し 2019/07/04(木) 09:10:51.65 ID:uPd7LMv/0
>>555
なお簡単にパスワードリセットできる模様

569: 風吹けば名無し 2019/07/04(木) 09:10:58.59 ID:6twiTLPVa
ってかナナコと互換性すらないのヤバない?

ナナコのチャージ分移そうとしたら出来なくて驚愕したんやけど

588: 風吹けば名無し 2019/07/04(木) 09:13:04.27 ID:BH2UvHttM
>>569

そんなシステムは複雑すぎて作れないんや

592: 風吹けば名無し 2019/07/04(木) 09:13:32.21 ID:7iz/+Jp50
これ要するに悪用されないようにするには
セブンペイの会員にならなければええねんな?

600: 風吹けば名無し 2019/07/04(木) 09:14:14.15 ID:NhQ+nR75M
>>592
それで合ってる

604: 風吹けば名無し 2019/07/04(木) 09:14:31.25 ID:D1zo/Y3a0
>>592
それしかない
10年くらいして被害でてなければ再考してよいレベル

583: 風吹けば名無し 2019/07/04(木) 09:12:24.51 ID:zOG3UKh7H
これはセキュリティ対策以前の問題やわ
不正利用がありえる仕様を誰も指摘しないまま開発させたのが悪い

元スレ:http://tomcat.2ch.sc/test/read.cgi/livejupiter/1562195707/
スポンサード リンク
おすすめサイトの最新記事