ニュース速報VIP

【悲報】ガバガバセキュリティーのセブンペイ、入金用のパスワードを誰でも変更できるザル設計だった模様wwwwwwwww

1:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:19:07.37 ID:QwKiq3dC0



セブンペイ入金認証、チャット通じ他人が変更可能
https://www.yomiuri.co.jp/economy/20190715-OYT1T50072/

(読者会員限定記事なので、さわりだけ紹介)
———-
 セブンペイは、セブン―イレブンの公式アプリにIDとパスワードでログイ
ンした後、契約者が登録したクレジットカードなどから入金し、その残高の範
囲内で買い物できる仕組みだ。入金する際は、ログイン用パスワードとは別に、
6~16桁の新たな認証パスワードを設定し、入力する必要がある。

 ところが、認証パスワードは、問い合わせ画面でパスワードを忘れたことを
伝えると、オペレーターとチャット画面のメッセージ交換を経ることで本人以
外の不正利用者でも変更ができる設定となっていた。正規の利用者がパスワー
ドを忘れた際の利便性を考えた措置だったが、不正利用者にとっても、いった
んアプリにログインさえできれば、認証パスワードを変更して契約者名義のカ
ードから入金が行える格好になっていた。
———-


 




元スレ
http://hayabusa9.5ch.net/test/read.cgi/news/1563171547/

2:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:23:28.40 ID:pQtma7rI0



俺のnanacoポイントはどうやって盗まれたんだろう




3:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:25:08.76 ID:fyx/WfPA0



二重認証・・・?




4:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:26:08.44 ID:zK8f4tBV0



便利すぎwwwww




5:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:26:32.59 ID:QwKiq3dC0



スマホ用のアプリなんだから、SMSで仮パス発行するとか、いくらでも安全な
方法があると思うんだよな。




7:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:26:51.97 ID:l2JGkqO00



外部ID連携にも問題があるようで、このシステムを構築したベンダー(1次請け)は損害賠償請求されても文句を言えないレベル。




42:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 16:39:30.96 ID:ohMdC1w00



>>7
どこが作ったの?
中国にオフショアしたんじゃないの




8:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:28:10.10 ID:yMc1aZgX0



まーnanacoもザルだし




11:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:29:15.34 ID:G8LWyPi4O



ペイパイナッポーアッポーペイ




12:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:29:30.93 ID:UcPn1IKc0



そもそも別端末からログインできる仕様にすんなと




13:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:30:13.43 ID:s7aoIixo0



天下のセブンがお粗末だな
仕切り直しの大還元祭お待ちしております




15:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:31:52.68 ID:QwKiq3dC0



>>13
おにぎり一個とか^^




14:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:30:34.36 ID:6ulwb4Ol0



秘密の質問:「次の質問にお答え下さい【好きな果物は?】」とかで、回答回数に制限がなかったりしたのかな?w




23:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:42:00.10 ID:+UIf1a9I0



>>14
チャットで秘密の質問忘れたつって初期化→パスワード再設定してるツイートみかけた




41:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 16:38:09.90 ID:6ulwb4Ol0



>>23
それホント?
「秘密の質問」ですら半分ネタだったのに、
それすらすっ飛ばすとかどんだけガバガバなんだよwww




19:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:38:03.45 ID:tazCe4lH0



おにぎり一個に数十万円払ってどんな気分?




22:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:40:02.62 ID:2YVzSLC10



どこの業者に開発依頼したんだよ
スゲー気になるわ




26:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:45:23.85 ID:LAXQfzdC0



>>22
NECと日本オラクルだっけ?
まあ実際に作ってるのは4次受け5次受けの時給1200円奴隷だろうけど




32:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:55:03.23 ID:oV1crAlT0



>>26
中国とか中華人ばっかの所に害虫かもな。




44:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 16:50:07.04 ID:zqGKQbmb0



>>32
サービス開始時点で既に脆弱性が犯罪組織に周知されていたからなあ。




24:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:42:50.89 ID:DiVuyVMb0



なんだよお前の認証ガバガバじゃねえかよ




28:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:46:14.86 ID:KwiEe4Wr0



開発どこよww




31:名無しさん@2ろぐちゃんねる : 2019/07/15(月) 15:53:29.10 ID:ZH/8tkTj0



セブンではsuicaしか使わない




コメント一覧

  1. 名無しさん@2ろぐちゃんねる より:

    pw変更時の認証がガバガバな7pay。
    でも「被害出たけどpw変更されてなかった」
    報告もある。他にもサービス開始直後から犯罪組織のタゲとされる要因があったんだろうな。
    これまで逮捕の全員が中国籍だから下請けに中国人チームが入り込んで念入りにバックドア仕込まれたんだろう。

コメント

メールアドレスが公開されることはありません。