セブンイレブンが7月1日に開始したスマホ決済サービス『7pay(セブンペイ)』。そんな『7pay』の利用者が
不正利用されるという被害が続出している。現在までに発覚している被害額は5500万円。
利用者は不正に乗っ取り被害にあい、数万円、多い人だと20万円近くをチャージされたという。
新たなデバイスでログイン時にPINコード、もしくは二段階認証を要求しそのSMSかメールアドレスにワンタイムパスワードを発行するという流れ。
しかしそういったセキュリティを一切しておらず、IDとパスワードだけでログイン出来てしまうと言うザルさ。
更に今回の被害の拡大に繋がった原因として、パスワードの再設定として生年月日とメールアドレスだけで再設定可能。
しかもそれとは別に「送付先のメールアドレス」という項目もありこれを悪用されたと思われる。
では何故生年月日が分かったのか? それは生年月日を入力しないとデフォルト値は2019年1月1日になるようだ(iOS版のみ)。
あとはその人のメールアドレスと送付先のメールアドレス(乗っ取り犯のメアド)を入力し完了。
途中に画像認証という物もあるが全く意味がない。むしろ無くてもいい。
このほかにもメールアドレスやSNSから生年月日を推測された人も多いだろう。よく「xxxx1225@〜」というアカウントにしている人を見かけるが
まさに誕生日だ。これだけだと何年生まれかわからないので、SNSを見て何年生まれか調べると言うわけだ。
致命的なのが任意のアドレスに送信出来たこと。こんなの乗っ取って下さいといわんばかりである。
■捨てアカ登録でおにぎり無限に貰える?
(つづく)
https://gogotsu.com/archives/52017
https://gogotsu.com/wp-content/uploads/2019/07/001-2.jpg
https://gogotsu.com/wp-content/uploads/2019/07/002-2.jpg
