2019年7月4日

スマホ決済「7Pay」トラブルの影響を危惧して同列会社サービス「オムニ7」から退会する人たち。現金やSuicaが最強説も浮上

記者会見で不安がマシマシになるのヤバくないか
11
リンク 朝日新聞デジタル 7Pay、新規登録を停止 不正相次ぐ、全被害補償へ:朝日新聞デジタル セブン&アイ・ホールディングス(HD)は、コンビニ最大手のセブン―イレブンで1日から始めた独自のスマートフォン決済「7Pay(セブンペイ)」について、利用者の一部が不正アクセスの被害に遭ったことを受… 41 users 179
まとめ セブンイレブンアプリ乗っ取りにより7payで30万円不正利用された人のツイート 電話出なすぎ(一刻も早く解決しますように….) 203934 pv 2588 229 users 208
IPA(情報セキュリティ安心相談窓口) @IPA_anshin

IPA情報セキュリティ安心相談窓口の公式アカウントです。 窓口に寄せられる相談をもとに、コンピュータウイルスや不正アクセス等の手口や対策に関する情報を、皆様にお届けします。 ※情報発信専用のアカウントです ご相談は→ipa.go.jp/security/anshi…

ipa.go.jp/security/anshi…

IPA(情報セキュリティ安心相談窓口) @IPA_anshin

モバイル決済サービス「7Pay」 で、第三者に不正アクセスされ、身に覚えのない取引が発生していると、運営会社から注意喚起されています。 1/3 7pay.co.jp/info/info_2019…

2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口) @IPA_anshin

モバイル決済サービス「7Pay」 で、第三者に不正アクセスされ、身に覚えのない取引が発生していると、運営会社から注意喚起されています。 1/3 7pay.co.jp/info/info_2019…

2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口) @IPA_anshin

◆ログインID・パスワードが分かりやすい ◆クレジット/デビットカード登録時に設定する認証パスワードとログインID・パスワードが同一 という場合は、すぐにIDやパスワードを変更してください。 詳しくは運営会社からのお知らせをご確認ください。2/3

2019-07-03 17:19:32
IPA(情報セキュリティ安心相談窓口) @IPA_anshin

不正ログインの被害に遭わないために、日頃からパスワード設定は「できる限り長く、複雑にし、絶対に使い回さない」ようにしてください!3/3 ipa.go.jp/chocotto/pw.ht…

2019-07-03 17:19:32
リンク www.ipa.go.jp チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機構 チョコっとプラスパスワードとは、日頃使っている自分のパスワードを「チョコっと」見直すことで、インターネットでのさまざまな犯罪から、自分や他人を守ろう!というキャンペーンです。 4 users 64

パスワードのセキュリティがガバガバ過ぎる

のらねこ! @ragemax

パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。

2019-07-03 22:09:50
のらねこ! @ragemax

と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT

2019-07-03 22:09:51
拡大
のらねこ! @ragemax

お誕生日と登録メアドをどうやって入手するかについてはここでは考えないこととしたい。今の世の中いくらでも何とかなるような気がするけど

2019-07-03 22:18:37
Miyahan @miyahancom

#7pay の不正利用問題、オムニ7時代にアカウント作った人は生年月日+電話番号+会員IDの組み合わせが一致していれば任意のメアドでパスワードリセット可。ヨーカドーアプリ・セブンアプリから作った人は生年月日+メアドの2つさえ合っていれば乗っ取り可。で今回後者のリセットが悪用されたと?

2019-07-03 22:43:25
Miyahan @miyahancom

知人なら余裕で乗っ取り可能だし、過去に漏れたメアドと生年月日リストがあれば機械的に簡単&大量に乗っ取れると。あとはチャージパスワードのリセット(秘密の質問)さえ突破できればクレカの限度額まで使いたい放題とな。

2019-07-03 22:49:59
Miyahan @miyahancom

秘密の質問は下記のうちどれか1つ ・母親の旧姓 ・子供の頃のニックネーム ・子供の頃になりたかった職業 ・中学のときの部活動 ・好きな果物 ・好きなおにぎりの具 ここで特別に私が子供(小学生)の頃のニックネームをお教えしましょう。「ミヤハン」です。

2019-07-03 22:58:19
ラーメン大好きしろくまさん @Kumappus

@miyahancom 秘密の質問もぶっ飛ぶなんちゅう緩いリセット要件なんだ... ひょっとしてSNSで「誕生日」を探してメアドの当たりをつけたら結構見つかるんじゃ...

2019-07-03 22:52:04
mizushika @mizushika1

@miyahancom 生年月日が「未選択」のユーザは 2019/01/01 でパスワードリセット可能だそうなので、条件はもっと緩くなりますね…。

2019-07-04 08:36:53
shao / 澤田 翔 #FullyVaccinated @shao1555

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。 ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K

2019-07-03 21:31:57
拡大
Hiromitsu Takagi @HiromitsuTakagi

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g

2019-07-04 06:51:40
拡大
拡大
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

2019-07-04 06:54:02
拡大
拡大
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

改行があると退会できないのも再現した。 pic.twitter.com/gg1z4TshpX

2019-07-04 07:18:18
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

退会が完了した直後にアプリが落ちるのも再現。

2019-07-04 07:20:50
まさ@どすこいラ族の夏物語 @qMASp

@HiromitsuTakagi 7iDの誕生日変更はomni7のサイト上では不可。 お問い合わせフォームからする必要があるらしい。 pic.twitter.com/Evbk7qN3zu

2019-07-04 10:44:29
拡大
残りを読む(92)

コメント

Kyrie @Kyrie_u_eiryK 2019年7月4日
金曜昼や深夜に日テレで、(旧)オムニ7と提携してる通販番組をやってる。ヒット商品の売上はかなりの額になるようだし、機能を停止したくない理由の一つではと邪推している。
3
るりるり @February2030 2019年7月4日
画像の中にある「モロ弱」ってもしかして「脆弱(ぜいじゃく)」のことですか?
4
野良馬 @nobody_oyaji 2019年7月5日
オムニ7は限定品あるからなぁ…
1
空家の恵比寿様1968 @ebcdic_ascii 2019年7月5日
February2030 「脆弱」=「もろよわ」っていうネタがありまして
3
長谷川 信 @j0_njll 2019年8月1日
ここまで急速に進めてきたのには政治的な思惑があるに違いないwwwwwww
0