モバイル決済サービス「7pay」で不正ログイン被害が続出。
慌てふためくセブン&アイ・ホールディングス。
被害額は全額補償するというが、詳細は調査中。
7payは、7月1日のリリース当初から登録者が殺到し、アクセスしづらい状況。
そして3日頃には、不正利用の報告がTwitterなどで相次ぐ。
ログインIDとパスワードを入手した第三者がアカウントを乗っ取り・・・。
残高チャージやセブン-イレブン店頭での支払いができる状態だったそうな。
やばいねぇ、これ!同社の試算によると、不正アクセスの被害者は約900人。
被害額の合計は約5,500万円に上り、登録者数は150万人強。
ところで、不正アクセス元のほとんどが海外IP。
また不正アクセスの原因は、パスワードリスト攻撃の可能性も含めて調査中というが・・・。
7payは「セブン-イレブン」アプリに実装された決済機能。
「生年月日・電話番号・会員ID(メールアドレス)の情報があれば・・・。
第三者がパスワードを変更できる状態。
SMS認証等の二段階認証も設定されていなかったそうな。
また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。
二段階認証は、今や常識中の常識だよね。
あまりにお粗末で致命的な弱点というネット上の批判は、しごく当然。
それにしてもなぜ、登録時と別のアドレスでパスワードリセットできる仕様にしたんだろう?
慌てふためくセブン&アイ・ホールディングス。
被害額は全額補償するというが、詳細は調査中。
7payは、7月1日のリリース当初から登録者が殺到し、アクセスしづらい状況。
そして3日頃には、不正利用の報告がTwitterなどで相次ぐ。
ログインIDとパスワードを入手した第三者がアカウントを乗っ取り・・・。
残高チャージやセブン-イレブン店頭での支払いができる状態だったそうな。
やばいねぇ、これ!同社の試算によると、不正アクセスの被害者は約900人。
被害額の合計は約5,500万円に上り、登録者数は150万人強。
ところで、不正アクセス元のほとんどが海外IP。
また不正アクセスの原因は、パスワードリスト攻撃の可能性も含めて調査中というが・・・。
7payは「セブン-イレブン」アプリに実装された決済機能。
「生年月日・電話番号・会員ID(メールアドレス)の情報があれば・・・。
第三者がパスワードを変更できる状態。
SMS認証等の二段階認証も設定されていなかったそうな。
また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。
二段階認証は、今や常識中の常識だよね。
あまりにお粗末で致命的な弱点というネット上の批判は、しごく当然。
それにしてもなぜ、登録時と別のアドレスでパスワードリセットできる仕様にしたんだろう?
アクセス
トータル
ランキング
