キャッシュレス情報サイト ぺぺぺ!ペイランドより
不正利用問題の7pay
アプリ上で見られる情報で、「秘密の質問」の答えを忘れたとチャットサポートに問い合わせると、クレカチャージパスワードをリセット・再設定できるできることが判明
つまりアプリに不正ログインできた段階で、クレカ登録済みユーザーなら使い放題
7pay不正アクセス、もしかしたら不正ログインできた段階で、表示されている情報でもって、チャットサポート経由でチャージパスワードをリセットできてしまうかもしれません。
— ペペペ!ペイランド (@ppp_payland) 2019年7月4日
【7pay セブンペイ】不正利用の個人的な背景予想 2013年系列15万流出事件→オムニ7→7pay https://t.co/CtuxdVcGyZ#7pay
って、やったらできてしまったああああ!!!!!!!
— ペペペ!ペイランド (@ppp_payland) 2019年7月4日
不正ログインできる=クレカチャージパスワードリセット可ってことに…
「秘密の質問忘れた」で7payチャットサポートに問い合わせると、お問い合わせ番号、7iDメアド、nanaco番号(すべてアプリに表示)で個人確認が済みリセット再設定に #7pay pic.twitter.com/9PmwHSCkPx
被害に合われためるかばさん(@methuselah3)は、もしかしたらこのパターンかもしれません。不正ログイン即ちこれチャージパスリセット。。
— ペペペ!ペイランド (@ppp_payland) 2019年7月4日
まるで身に覚えなく7payでチャージされたCANDYさん(@CANDY__SPECIAL)は、過去セブンネットショッピングの流出案件か、まったく別の流出案件かもしれません。
秘密の質問の答えだけリセットされるのかと思いきや、チャージ認証パスワードがリセットされたみたいです。
— ペペペ!ペイランド (@ppp_payland) 2019年7月4日
変更する、みたいなのが前あったような。 #7pay pic.twitter.com/ecWzopB4TP
7pay不正利用被害者のめるかばさん
この方法でチャージパスワードを突破された?
#7pay
— めるかば (@methuselah3) 2019年7月3日
クレジットカードの登録には3DSecureを使って登録、その後は都度のパスワードによりチャージできる仕組みですが、そのパスワードはアプリへのログインとも違うものを登録していましたが、2段階どちらも突破されました
なお桁数は16桁、使いまわしはしていません
提供されています。自分で決めた質問に答えるタイプでした。
— めるかば (@methuselah3) 2019年7月3日
質問憶測するのはなかなか難しいと思います
— めるかば (@methuselah3) 2019年7月3日
この記事への反応
・アプリ上で見られる情報で秘密の質問再設定できるのは草
・7payはログインするためのパスワードの他に、チャージするときに使う認証パスワードが分けてあるようだが、せっかく分けてある認証パスワードがログイン中に見られる情報を使ってサポートに問い合わせることで設定できる、つまり認証パスワードが存在している意味がない。
・問題になってからのサポート対応がこれですか・・・
・みんな!7pay退会しなきゃ!
セキュリティがザルどころかバケツの底に穴が開いてるよ
・えっ!? ええっ!!?!?
・ああああああ!!!!(膝から崩れ落ちる)
・設計者の無言の反乱に見える‥‥
・どんどん穴が見つかってる。もはや7&iのネット系サービスはエンドユーザーがテスターになって公開テストをしているようなもんだ。
・セブンの情報サービス全般的にダメなんだな……。技術陣の話をまともに聞く人たちがおらんのだろなあ……
・やっぱりセブンイレブンは客の金抜けるだけ抜きたいマンやないかw
これはひどい
宇崎ちゃんは遊びたい! 3 (ドラゴンコミックスエイジ)posted with amazlet at 19.07.06丈
KADOKAWA (2019-07-09)
売り上げランキング: 254
おじさまと猫(3) (ガンガンコミックスpixiv)posted with amazlet at 19.07.06桜井 海
スクウェア・エニックス (2019-07-12)
売り上げランキング: 162
じゃあ緊急メンテしなよ…
なにこのスイッチみたいなガバガバセキュリティ
そしてさようなら
今更日本で広めようとしてるのって詐欺って回収が目的だろ?
そんなん騙された方がバカってだけだよ
1個じゃないぞ、無限だぞ
絶対なにもセキュリティとか分かってない奴が「パスワード忘れたってお客はでてくるから簡単に再設定できるようにしないとダメ!」「メアドなんて変えるでしょ?」とか言って仕様を押し付けたんだろ
現場からすりゃカスみたいな設計仕様だってひと目で分かるけど上から押し切られたらどうしようもないわ
さすがにそれはねーわ
そしてもうなにひとつ日本に期待してないと思うわことITに関しては
知らん間に使われてそう
もはやテロだろこれ
これの布石だったか。
というかさっさと大元しょっぴけよネット警察。
どっちかって言うと客の利便性上げるためというよりは
サポートセンター立ち上げの金をケチった結果だと思う
取り敢えず、ペイと本社の社長以下幹部は全員腹を切るべき
アプリ利用で送られてきた無料おにぎりクーポンでニッコリ
これなら現金のほうがマシだろ
絶対内部でこれあかんやろって話はあったと思う。
それをどこの段階で
どの立場が握りつぶしてGOがかかったのか
これは怖いな
ペイはまだやってなかった
退会してた方が良さそうねw
今後使う奴がいるとしたら、長い事海外で暮らしてたとか10年くらい監禁されてたとかそんな奴だけだろ
問題なのは意識の低いやつらが「俺らも独自の決済方法持たないと時代の流れに取り残される」とか思って
わかりもしないのに仕様を決めて納期厳守で突き進んだ結果だよ
技術的にはもっと高度な(交通系なんて一日数百万人以上が利用する処理を高速で行ってる)FeliCa系決済がはるか昔から普及してるし現金じゃないとダメとか言うのは間違い
スマホで1本で済ませようとするから事故るんだ
結局7ペイだってクレカからチャージしてるんだから
これ、わざとじゃないのかって勘繰るレベル。
セキュリティがザルすぎ。
でも、時代の流れでしょうかね。
防御力ないな
登録してないメールアドレスに再設定メールを送れるサイトらしいから
これ単に時間か金を出し渋ってまともに作れなかっただけかw
全て劣ってるわけではない、ICカードリーダーが必要ないから導入コストが安い敷居が低いてとこだけは優れてるで
社長がアレだしな
意識高いヤツは飛びつくのだろう
責任を取れえええええええええええええええええええええ
金をケチるならコンビニで買い物するなよw
下請けはどこの国?
違うね
金持ってない奴が金の使い方を知らないからコンビニに行くんだ
お粗末にすぎる
米のレベルもノリのレベルも具のレベルも低い、しょっぱいだけのシャケを旨味の少ない米とノリで包んであるから不味さが引き立つ
おまけにバイトも返事聞き取れねぇわレシート渡さねぇわどうにもならない、上から下までセブンはゴミだな
意識高い系が飛びついてるのであって
意識高い人はクレカです
中国の中層階級のやつらが日本に来た時に金落とさせるため
なお上層は普通にクレジットカード使ってる
下層はそもそも日本に来れない
なんの関係があるのか知りたい
FeliCa最強!!
ぴゃーおww
仕様設計からちゃんとプロに仕切って貰ったら?
アップルみたいなでかいところも含めて未だに秘密の質問やってる所あるけど
マジでどうかしてる
まともな企業じゃないね
初代はどうだったのか知らないけど今は金の亡者どもが仕切ってるんだよ
だからこんな撰な仕様設計が通る
paypayはソフトバンク関連
アップルの秘密の質問の回答はひらがなでもカタカナでも漢字でも全部通る
個人にしかわからないキーの設定は悪いものではないと思う
が、忘れないはずのものだけど、柔軟性は必要だ
セブンアプリにそのような柔軟性が実装されていたかどうかは知らないけどね
任天堂の紙ダンボールセキュリティといい勝負だな。特に誰でもクラック出来るという点でも共通してるしw
おにぎり二個しか貰えないからpay乞食は見向きもしなかったんだぜ
ファミペイの方が食いつきがいいくらい
あれも初回2万チャージしか旨みないけど
税金払って20%還元されてうまかったわ
まぁ実際に朝方コーヒー買いに行くとドカちゃんいっぱいいてビビるよな
あとウェーイ系の溜まり場みたいな場所もあるにはある
あと、この下請けの流れの中に中華企業(ドラゴン系)があってセキュリティ仕様黙殺されとったりして
仮に設計者がアホでもまともなチェックしてりゃ世には出てこないだろこんなの
こんな学生が1週間で作ったレベルのシステム使う意味よな
バケツが紙製の可能性も
このシステム作ったやつ間違いなくクビ
半年くらい掛けてまともに一から作り直したほうがいいんじゃね