話題

7pay、メールアドレスと電話番号知っているだけで不正利用できる神仕様だったことが判明

投稿日:

1 :風吹けば名無し 2019/07/04(木) 08:15:07.63 ZIzMSKCc0.net
パスワードリセットのメールをリセット時指定するメールアドレスに送信させることができる仕組み
そしてパスワードリセットにはID(メールアドレス)、電話番号そして生年月日だけで可能
→メールアドレスとそれに紐付いた電話番号、生年月日さえわかっていればパスワードリセットすることが可能

しかも生年月日は任意の項目(iPhone版のみ)で設定しないと2019年1月1日に設定される仕組みなので
生年月日を設定していない人のパスワードはメールアドレスとそれに紐付いた電話番号でリセットすることさえ可能


https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/

2 :風吹けば名無し 2019/07/04(木) 08:15:27.40 5alAGJfdd.net
コンビニエンスやなぁ
4 :風吹けば名無し 2019/07/04(木) 08:16:12.04 2LI4SGCt0.net
>>2
5 :風吹けば名無し 2019/07/04(木) 08:16:28.60 4w7+6zVn0.net
不適切な退会理由
9 :風吹けば名無し 2019/07/04(木) 08:17:07.86 ANzXpw73x.net
>>5
13 :風吹けば名無し 2019/07/04(木) 08:17:58.60 h5XOuD2a0.net
>>5
えぇ……
36 :風吹けば名無し 2019/07/04(木) 08:21:07.87 zfB9/+Omd.net
>>5
あ、ふーん
115 :風吹けば名無し 2019/07/04(木) 08:31:34.23 LkvDPvM30.net
>>5
サービス向上をハナから諦めてるやん
170 :風吹けば名無し 2019/07/04(木) 08:35:45.34 808uHAyua.net
>>5
どっちが不適切なんだろ
189 :風吹けば名無し 2019/07/04(木) 08:37:43.54 ANzXpw73x.net
>>170
実際は改行があかんらしい
内容はセーフ
563 :風吹けば名無し 2019/07/04(木) 09:10:12.57 oLo+hqnyM.net
>>189
それはそれでアカンやんけ!
6 :風吹けば名無し 2019/07/04(木) 08:16:31.30 H5o755jv0.net
素人が作ったんかよ
15 :風吹けば名無し 2019/07/04(木) 08:18:15.84 4w7+6zVn0.net
SNSで生年月日調査する必要すらないんだよなあ

Hiromitsu Takagi @HiromitsuTakagi (2019/07/04 06:51:40)
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。




http://twitter.com/HiromitsuTakagi/status/1146537014520532992

Hiromitsu Takagi @HiromitsuTakagi (2019/07/04 06:54:02)
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。




http://twitter.com/HiromitsuTakagi/status/1146537609822294017

Hiromitsu Takagi @HiromitsuTakagi (2019/07/04 06:56:53)
うわあアア……




http://twitter.com/HiromitsuTakagi/status/1146538328470147073
https://twitter.com/5chan_nel (5ch newer account)
(deleted an unsolicited ad)

27 :風吹けば名無し 2019/07/04(木) 08:20:07.51 FvKQIiJIa.net
>>15
こんなん即刻サービス停止すべきやろ
44 :風吹けば名無し 2019/07/04(木) 08:22:20.97 OcklZmJ/0.net
>>15
これはひどい
175 :風吹けば名無し 2019/07/04(木) 08:36:19.63 HwCAi9ILd.net
>>15
ガバガバ仕様書のせいでこんなのが出来上がるんか?
191 :風吹けば名無し 2019/07/04(木) 08:37:46.22 fkiW+SDGM.net
>>175
そういうもんや
下請けの開発会社は
設計書と違うもん作ったら訴えられるからな
294 :風吹けば名無し 2019/07/04(木) 08:47:34.55 xMCVMCsiM.net
>>191
設計書で曖昧なところって担当者間で詰めないのか?
322 :風吹けば名無し 2019/07/04(木) 08:50:19.04 fkiW+SDGM.net
>>294
セブン側の担当がど素人か、

面倒くさい他社とおんなじっぽく適当にやっとけ!!
て感じでコンサルなりベンダーに丸投げの対応だったんじゃないか

357 :風吹けば名無し 2019/07/04(木) 08:53:37.05 1zo/Y3a0.net
>>322
まあ丸投げだろね
生年月日はレジのあれとおなじでセブンイレブンとしては譲れなかった結果こうなったんだろう
ならなぜ入力必須にしなかったのか
410 :風吹けば名無し 2019/07/04(木) 08:57:48.22 fkiW+SDGM.net
>>357
個人情報云々でジジババとか拒絶反応する連中でも気軽に利用できるよう配慮したとか?
431 :風吹けば名無し 2019/07/04(木) 08:59:23.80 Ghq7DEujp.net
>>410
気軽に不正利用されてて草
455 :風吹けば名無し 2019/07/04(木) 09:01:14.86 1zo/Y3a0.net
>>410
いやここは情報要求の鉄則だよ
どうしてもほしいものは入力必須にしなきゃいけないし
どうでもいいものは未入力なら未設定にする
かってにデフォルト値を設定するのは論外
196 :風吹けば名無し 2019/07/04(木) 08:38:15.63 Er1MwXeYM.net
>>15
入力しないで登録できるシステムとか
275 :風吹けば名無し 2019/07/04(木) 08:45:42.45 65YstTFxM.net
>>15
ファーーーーーーーwwwwwwwwwwwwwwww
33 :風吹けば名無し 2019/07/04(木) 08:20:44.41 JrWuzN4c0.net
送付先メールアドレスを別に設定出来るのかよ
不正し放題じゃん
38 :風吹けば名無し 2019/07/04(木) 08:21:19.56 TztZFbxNp.net
PayPay先輩の失敗見てなかったんか?
46 :風吹けば名無し 2019/07/04(木) 08:22:25.44 4w7+6zVn0.net
>>38
PayPay先輩の10段階くらい下のレベルに行っとるぞ
54 :風吹けば名無し 2019/07/04(木) 08:23:30.98 TztZFbxNp.net
>>46
悲しいなぁ
64 :風吹けば名無し 2019/07/04(木) 08:25:05.20 z7vYEF+qd.net
プログラマとかこれでいいの…?とか思いながらやってたんやろなぁ
72 :風吹けば名無し 2019/07/04(木) 08:26:09.33 EmKD5oPcp.net
>>64
これはアカン…でも直すの面倒くさいし納期もヤバイから気付かなかったことにするかって感じやで
65 :風吹けば名無し 2019/07/04(木) 08:25:06.55 GbnabaPS0.net
これ規約に「不正使用された場合の責任は負わない」って書いてあるんやけど
保障しないと世間的にアカンよな
70 :風吹けば名無し 2019/07/04(木) 08:26:00.31 UNOSFGzB0.net
>>65
流石にこれだけガバガバのセキュリティだとその規約無効やろ…
88 :風吹けば名無し 2019/07/04(木) 08:28:22.20 fkiW+SDGM.net
>>65
セキュリティ対策一切してなくて個人情報自らばら撒くスタイルやけど利用側の責任とか最強やな
274 :風吹けば名無し 2019/07/04(木) 08:45:39.97 OyGfF2RF0.net
>>65
利用者に過失がある場合にはそれでええけど7側のシステムの欠陥が原因ならそれは通らん
66 :風吹けば名無し 2019/07/04(木) 08:25:24.52 lsEtqPo9a.net
nanacoのアプリで十分なのに手出すからやろな
126 :風吹けば名無し 2019/07/04(木) 08:32:31.94 +tuCpheXd.net
パスワードリセットってだいたいどこもメールアドレスにメール送るのが本人確認やろ
特にこれが悪いとは思わんわ
159 :風吹けば名無し 2019/07/04(木) 08:34:56.78 SJecLkf50.net
>>126
311 :風吹けば名無し 2019/07/04(木) 08:49:35.96 RKU+wYKdM.net
>>159
登録アドレスに送らなくていい仕様にする意味がわからん
143 :風吹けば名無し 2019/07/04(木) 08:34:10.68 v/L5MwhS0.net
セブンの奢りがすぎてとんでもないことになっとんな
149 :風吹けば名無し 2019/07/04(木) 08:34:31.03 Ku+i5vz6a.net
セブンって最近はもうろくな話きかんな
214 :風吹けば名無し 2019/07/04(木) 08:39:46.07 AhkDdIFla.net
担当者と無能ベンダーのクビが飛ぶのだけが楽しみ
231 :風吹けば名無し 2019/07/04(木) 08:41:08.41 OyGfF2RF0.net
知り合いのやつならだいたいいけるやんこれ
299 :風吹けば名無し 2019/07/04(木) 08:48:07.42 hy6QQbn00.net
なんやこれ一体…
334 :風吹けば名無し 2019/07/04(木) 08:51:27.44 hT/0ZXnZd.net
乗っかるだけ乗っかって大怪我しただけやな
337 :風吹けば名無し 2019/07/04(木) 08:51:39.50 1zo/Y3a0.net
理解できない仕様
未設定は未設定にしとけよ
それとリマインダーで任意のメールアドレスに送信できるのは意味不明
466 :風吹けば名無し 2019/07/04(木) 09:02:11.57 G4+q+j6K0.net
そもそも初日に繋がりづらいとかいう最悪の悪手で不便さアピールしたみたいやしもう無理やろ
522 :風吹けば名無し 2019/07/04(木) 09:06:59.10 uPd7LMv/0.net
なんで再設定のメールアドレスを別のメールアドレスに送れる仕様なんかにしたんやろ
作ってるほうが任意に仕込んだのか疑われるレベル
555 :風吹けば名無し 2019/07/04(木) 09:09:38.97 BH2UvHttM.net
セブンペイ不正利用 専門家「同じID、暗証番号使わず定期的に変更を」
https://mainichi.jp/articles/20190703/k00/00m/020/294000c

ん?w
パスワード使い回さなければ防げたらしいぞw

566 :風吹けば名無し 2019/07/04(木) 09:10:37.22 N3HBmama.net
>>555
暗証番号の定期的変更は無意味ってのが今のトレンドやろうに
どこの年寄りの意見なんや?
567 :風吹けば名無し 2019/07/04(木) 09:10:51.65 uPd7LMv/0.net
>>555
なお簡単にパスワードリセットできる模様
583 :風吹けば名無し 2019/07/04(木) 09:12:24.51 zOG3UKh7H.net
これはセキュリティ対策以前の問題やわ
不正利用がありえる仕様を誰も指摘しないまま開発させたのが悪い
引用元:http://tomcat.2ch.sc/test/read.cgi/livejupiter/1562195707/

-話題

Copyright© ライフスタイルニュース , 2019 AllRights Reserved.