自動ニュース作成G
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況
https://www.kaesakura.com/2019/07/omni7-7id-password/
2019-07-04 04:59:13
>結果として、登録してないアドレス宛にもパスワード再発行メールが届きました。下の「+hack」と付けているのがそれ。
>これじゃ、どんだけ強固なパスワードを設定しても、メールアドレスと生年月日(もしくは+電話番号)がわかればアカウント乗っ取り放題ですね。さっさと何とかしてください。
◆
・これ作った人この業界に向いてない
・711が警告を発してるサイトを「手口を公開する事で被害を広げた」とかいって訴える熱い展開こないかなー。
・今できる対策は登録削除一択でね。
・これは予想の斜め上の再発行認証w
・これ仕様を決めたの、ベンダーじゃなくてたぶんセブン側だよね。いや、だれもおかしいと声を上げなかったのかって話ではあるけど。
・笑わせにきてるのかな?https://twitter.com/8796n/status/1146602173511262208
・MNPでメアド変わった人がパスワード忘れた場合の対策なんだろうけど、なんで他社は通知先指定できる仕組みが入ってないのか考えなかったのかなぁ。そういうのは個別に電話対応やろー
・強そう https://news.mynavi.jp/article/20151210-7andI/ >13社のマルチベンダー
・#8 その写真の鈴木康弘ってのが創業者の息子で親の七光りなhttp://gnews.x0.com/20091214_161038/
・記者会見、案の定再発行システムへのつっこみに「利便性が」とか言ってて笑う。「原因がうちのシステムなのか外部要因なのか精査中」とかも言っててさらに笑う
・続報:7pay不正アクセスで、全てのチャージと新規登録停止。被害額5,500万円https://headlines.yahoo.co.jp/hl?a=20190704-00000098-impress-sci
・なんか盛り上がってると思ったら、SMSをツイッターと勘違いしてたり、会見に出しちゃいけない理解度の人だったのか
・#11 5,500万円って、思ったより少ないのな。一人6万円ぐらいか。まだ氷山の一角なのかもだけど。あとは「全てのお客様に全額保証」で自作自演がどのくらい発生するか。
・#13 あくまで実際店頭で商品を不正購入された人だけの被害総額らしいから、まだこれから増えるよ。新規チャージ止めただけで、既にチャージされた分の利用は止めてないし。
・昨日からの一連の情報でまだ登録し続けてる人って凄いわ。そこまで魅力あるサービスなんか。
・メール欄非表示になったけど実はCSSで隠しただけってマジ?
・#15 カード会社やセブンに損害を補填させるゲームを楽しもうとしてるとか? 今回の例だと、少なくともユーザー側に過失はないので損失はどちらかが補填することになるはず。
・あ、ごめん、ニュース来てたわ https://www.itmedia.co.jp/mobile/articles/1907/04/news101.html 「7pay」不正利用は全額補償へ 全チャージ&新規登録停止も、サービス自体は継続
・仕事早いhttps://twitter.com/kosys_pr/status/1146695363790659584
・以前の。http://gnews.x0.com/20131023_223725/
・https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05435/「サービスの全面停止はしない」、7pay記者会見の一問一答
・https://www.sankei.com/affairs/news/190704/afr1907040036-n1.htmlセブンペイ不正使用、詐欺未遂容疑で中国籍の男2人逮捕 警視庁 <決済前だから未遂なのか?
・実店舗で不正利用したんだったら結構根気がいるな。監視カメラですぐ捕まるような事するかね。
・一つのチームがやったんじゃなくて脆弱性気に気がついた関係ない人達何十人がやったんかな。
・バーコード決済先進国の中国人犯罪者からすりゃ、赤子の手をひねるようなもんなんだろうなぁ。