「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” これで脆弱性がないってwwwww
不正アクセスの原因について、記者から「パスワードリスト攻撃ではないか」と指摘されると、小林社長は「その可能性も含めて調査中である」と答えた。
今回の事件で特に問題視されているのが、「パスワードリセットの仕様」だ。7payは「セブン-イレブン」アプリに実装された決済機能。「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。
ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。
引用元:https://headlines.yahoo.co.jp/hl?a=20190704-00000075-zdn_n-sci
「生年月日」「電話番号」「会員ID(メールアドレス)」
なんて下手したら友達でも知ってるレベルの情報やんけwww
間抜けなシステムすぎるw
ネット黎明期の20年前なら百歩譲って仕方ないかもしれないが
IDとパスワードのリストを使ったアタックなら利用者にも非があるが、
2019年のサービスでこのレベルのセキュリティってwww
システムを外注してたら債務不履行で損害賠償請求するレベルでしょwww
そもそも、なぜ「登録時と別のアドレスでパスワードリセットできる仕様」にしたのか。清水執行役員は、PCから(パスワードリセット)操作する場合、携帯キャリアのメールアドレスが使えないので、そうした人に便宜を図った
しかも、登録時と異なるアドレスでパスワードリセットできるのかよwww
これなら、他人の生年月日と電話番号だけでパスワードリセット可能じゃん。
間抜けすぎwwww
小林社長は「警察に被害届を出してもらうのが基本的なプロセス。違うやり方がないか検討しないといけないと思っている」と説明した。今後はカスタマーサポートの人員を増加させるなどして、利用者のアフターサポートを充実させる。
これさあ、警察に被害届を出すのにかかった時間分をタイムチャージで損害賠償請求して、セブンとの返金対応の折衝等にかかった時間も全部控えてタイムチャージで損害賠償請求すべきだったわ
よかったな、日本に懲罰的損害賠償制度なくてww
あったら、破綻レベルの損害金請求されてるだろww
中学生が作ったシステムレベルのセキュリティマジ勘弁してくれよww