セブンペイ、入金用のパスワードを誰でも変更できるザル設計だった

**nemo**(関東地方) **[IN]** · 2019/07/15(月) 15:19:07.37

セブンペイ入金認証、チャット通じ他人が変更可能
https://www.yomiuri.co.jp/economy/20190715-OYT1T50072/

（読者会員限定記事なので、さわりだけ紹介）
----------
　セブンペイは、セブン―イレブンの公式アプリにＩＤとパスワードでログイ
ンした後、契約者が登録したクレジットカードなどから入金し、その残高の範
囲内で買い物できる仕組みだ。入金する際は、ログイン用パスワードとは別に、
６～１６桁の新たな認証パスワードを設定し、入力する必要がある。

　ところが、認証パスワードは、問い合わせ画面でパスワードを忘れたことを
伝えると、オペレーターとチャット画面のメッセージ交換を経ることで本人以
外の不正利用者でも変更ができる設定となっていた。正規の利用者がパスワー
ドを忘れた際の利便性を考えた措置だったが、不正利用者にとっても、いった
んアプリにログインさえできれば、認証パスワードを変更して契約者名義のカ
ードから入金が行える格好になっていた。
----------

TEKKAMAKI(沖縄県) **[GB]** · 2019/07/15(月) 15:23:28.40

俺のnanacoポイントはどうやって盗まれたんだろう

ランサルセ(新潟県) **[US]** · 2019/07/15(月) 15:25:08.76

二重認証・・・？

ヒップアタック(埼玉県) **[GB]** · 2019/07/15(月) 15:26:08.44

便利すぎｗｗｗｗｗ

**nemo**(関東地方) **[IN]** · 2019/07/15(月) 15:26:32.59

スマホ用のアプリなんだから、SMSで仮パス発行するとか、いくらでも安全な
方法があると思うんだよな。

目潰し(茸) **[CN]** · 2019/07/15(月) 15:26:41.18

中国製

パイルドライバー(神奈川県) **[UA]** · 2019/07/15(月) 15:26:51.97

外部ID連携にも問題があるようで、このシステムを構築したベンダー(1次請け)は損害賠償請求されても文句を言えないレベル。

腕ひしぎ十字固め(SB-Android) **[ZA]** · 2019/07/15(月) 15:28:10.10

まーnanacoもザルだし

急所攻撃(東京都) **[US]** · 2019/07/15(月) 15:28:18.14

>>1
仕込まれちゃったね
党主導かな？

ドラゴンスープレックス(東京都) **[US]** · 2019/07/15(月) 15:28:33.48

見ざる着飾る岩猿できるザル

2019/07/15(月) 15:29:15.34

ペイパイナッポーアッポーペイ

バズソーキック(大阪府) **[GB]** · 2019/07/15(月) 15:29:30.93

そもそも別端末からログインできる仕様にすんなと

バズソーキック(群馬県) **[US]** · 2019/07/15(月) 15:30:13.43

天下のセブンがお粗末だな
仕切り直しの大還元祭お待ちしております

キングコングラリアット(神奈川県) **[US]** · 2019/07/15(月) 15:30:34.36

秘密の質問：「次の質問にお答え下さい【好きな果物は？】」とかで、回答回数に制限がなかったりしたのかな？ｗ

**nemo**(関東地方) **[IN]** · 2019/07/15(月) 15:31:52.68

>>13
おにぎり一個とか^^

ナガタロックII(東京都) **[ﾆﾀﾞ]** · 2019/07/15(月) 15:32:02.96

問題は問題だけと、入金なら実害は無いだろ

キチンシンク(神奈川県) **[US]** · 2019/07/15(月) 15:34:36.84

凄腕中国人ハッカーに不正利用ないんでしょ？
それも逮捕され済み

ぴーぴーうるせーなぁ

TEKKAMAKI(埼玉県) **[JP]** · 2019/07/15(月) 15:34:38.97

そうか、じゃ100万やるわ

バズソーキック(東京都) **[VE]** · 2019/07/15(月) 15:38:03.45

おにぎり一個に数十万円払ってどんな気分？

トペスイシーダ(埼玉県) **[EU]** · 2019/07/15(月) 15:38:23.14

>>1

♪セブンイレブン～

あいてて、よかった♪

ｗ

レインメーカー(神奈川県) **[IN]** · 2019/07/15(月) 15:38:57.13

>>16
マジ？
貴方のアカウントをゲットしてチャージしまくるわ
うっかり使うかもしれんが…

ダイビングフットスタンプ(光) **[TW]** · 2019/07/15(月) 15:40:02.62

どこの業者に開発依頼したんだよ
スゲー気になるわ

逆落とし(東京都) **[ﾆﾀﾞ]** · 2019/07/15(月) 15:42:00.10

>>14
チャットで秘密の質問忘れたつって初期化→パスワード再設定してるツイートみかけた

ニールキック(千葉県) **[BR]** · 2019/07/15(月) 15:42:50.89

なんだよお前の認証ガバガバじゃねえかよ

不知火(神奈川県) **[ﾆﾀﾞ]** · 2019/07/15(月) 15:44:56.78

>>1

「さわりだけ紹介」とあるが、どこに話の要点が書かれているんだ？？

リバースパワースラム(神奈川県) **[SA]** · 2019/07/15(月) 15:45:23.85

>>22
NECと日本オラクルだっけ？
まあ実際に作ってるのは4次受け5次受けの時給1200円奴隷だろうけど

リバースパワースラム(神奈川県) **[SA]** · 2019/07/15(月) 15:45:47.68

>>25
要点だけ抽出してるだろ
キチガイかよ

目潰し(SB-iPhone) **[SE]** · 2019/07/15(月) 15:46:14.86

開発どこよww

フェイスロック(東京都) **[US]** · 2019/07/15(月) 15:48:13.08

おにぎり貰えて、ラッキー( ´∀`)

腕ひしぎ十字固め(SB-Android) **[ZA]** · 2019/07/15(月) 15:48:17.51

わざわざアプリ立ち上げてバーコードを読み取るてのが2度でまだろnanacoでええやん

ニールキック(やわらか銀行) **[CN]** · 2019/07/15(月) 15:53:29.10

セブンではsuicaしか使わない

栓抜き攻撃(庭) **[CN]** · 2019/07/15(月) 15:55:03.23

>>26
中国とか中華人ばっかの所に害虫かもな。

リキラリアット(大阪府) **[US]** · 2019/07/15(月) 16:09:01.49

いつも便利！セブンイレブン！

チェーン攻撃(武蔵・相模國) **[US]** · 2019/07/15(月) 16:15:21.27

もうnanacoでいいじゃん
7ペイなんかもう誰も使わないよ

膝靭帯固め(熊本県) **[FI]** · 2019/07/15(月) 16:17:55.24

ペイペイが使えるようになったんでもうどうでもいいや

マスク剥ぎ(神奈川県) **[US]** · 2019/07/15(月) 16:21:03.75

これで政治資金には困りませんね

ネックハンギングツリー(東京都) **[US]** · 2019/07/15(月) 16:21:06.66

もう害悪しかないだろう
会社潰して撤退した方がいい
支払が細分化されても使いにくいし

32文ロケット砲(東京都) **[US]** · 2019/07/15(月) 16:21:52.38

ガバガバすぎィ！

河津掛け(岩手県) **[GB]** · 2019/07/15(月) 16:25:50.01

ベンダーどこよ

頭突き(ジパング) **[PL]** · 2019/07/15(月) 16:35:11.59

ちゃんとSNSで確認とらないから

キングコングラリアット(神奈川県) **[US]** · 2019/07/15(月) 16:38:09.90

>>23
それホント？
「秘密の質問」ですら半分ネタだったのに、
それすらすっ飛ばすとかどんだけガバガバなんだよｗｗｗ

サソリ固め(神奈川県) **[DE]** · 2019/07/15(月) 16:39:30.96

>>7
どこが作ったの？
中国にオフショアしたんじゃないの

足4の字固め(ジパング) **[CN]** · 2019/07/15(月) 16:44:20.09

便利さに拘った故の設計なのか
じゃあ無罪だな

**nemo**(関東地方) **[IN]** · 2019/07/15(月) 16:50:07.04

>>32
サービス開始時点で既に脆弱性が犯罪組織に周知されていたからなあ。

レッドインク(東京都) **[DE]** · 2019/07/15(月) 16:53:11.42

このシステム自前？とこかに発中したの？

ときめきメモリアル(ジパング) **[KR]** · 2019/07/15(月) 16:54:34.36

>>45
外部委託みたいよ

キドクラッチ(光) **[ﾆﾀﾞ]** · 2019/07/15(月) 16:56:13.98

再開しても絶対に不具合ある

レッドインク(神奈川県) **[ﾆﾀﾞ]** · 2019/07/15(月) 16:59:43.87

スイカとクレジットカード併用で何の不便もないんだが

2019/07/15(月) 17:01:06.06

こっわw
まじかこれ

オリンピック予選スラム(茸) **[EU]** · 2019/07/15(月) 17:02:34.34

nanacoでいいじゃん

ドラゴンスクリュー(関東地方) **[EU]** · 2019/07/15(月) 17:04:00.33

基本設計の段階から既におかしいんじゃないのこれ

ストマッククロー(ジパング) **[EU]** · 2019/07/15(月) 17:05:11.54

日本のセキュリティの低さをよく言われるが、これは問題外の話ではないか？

不知火(茸) **[US]** · 2019/07/15(月) 17:06:25.74

nanacoがあるのに突貫で無理矢理作るからこうなる

フォーク攻撃(ジパング) **[US]** · 2019/07/15(月) 17:07:26.31

また恩弱性が露天してしまったか

不知火(茸) **[US]** · 2019/07/15(月) 17:07:34.04

俺もIDかモバイルSuicaしか使わない

トペコンヒーロ(ジパング) **[GB]** · 2019/07/15(月) 17:10:07.50

どっこが確信犯で請け負ったんだよ

ジャストフェイスロック(東京都) **[RU]** · 2019/07/15(月) 17:19:26.86

これの影響でナナコにも入金できんのやろ？

マシンガンチョップ(千葉県) **[CN]** · 2019/07/15(月) 17:20:09.57

これのせいでペイペイオートチャージ登録する気になれない

超竜ボム(大阪府) **[CA]** · 2019/07/15(月) 17:28:11.42

>>1
ク口猫矢纏webはもっとザルだぞ。

2段階認証を設定してもPCのブラウザしか対応してない。

なので、スマホのブラウザからは2段階認証すり抜けてログイン出来る穴がある。
この時はログイン履歴も残らない。

しかも、わざと数年間も修正しない。

サポも2段階認証を設定しても、スマホに対応してないからスマホでは2段階認証スルーでログイン出来るというクソっぷりの回答。
これでもセキュリティは大丈夫らしい。

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12173797282
↑
マジで、今でもこんな感じｗ

**nemo**(関東地方) **[IN]** · 2019/07/15(月) 17:29:54.21

>>52
当初は独立したアプリとして設計していたのを、サービス開始半年前
の段階で、急遽既存のネットショッピングに統合したらしい。

ジャーマンスープレックス(公衆電話) **[US]** · 2019/07/15(月) 17:33:21.53

不正アクセスで顧客が損害を被ってもセブン側は損害賠償しないと利用規約に書いてあるのだから、セキュリティゆるゆるにしてもセブン側は困らない。

超竜ボム(大阪府) **[CA]** · 2019/07/15(月) 17:35:14.43

>>59
これで問い合わせた時に、当社の2段階認証が不安なら解約しろまで言われたわｗ

リキラリアット(大阪府) **[US]** · 2019/07/15(月) 17:37:42.59

ファミペイはうまくいってるっていうのにな
大事なところでケチるからこうなるんだよ

パロスペシャル(ジパング) **[US]** · 2019/07/15(月) 17:40:10.67

全コンビニ対応決済がすでにあるのに

なぜセブン専用の決済を作ったのか
従業員の給料がわりにポイント送るつもりだったのか？

超竜ボム(大阪府) **[CA]** · 2019/07/15(月) 17:41:56.64

クソネコ2段階が一番酷いだろ？

セキュリティ高めたように見せて、スマホからIDとパスワードだけでログイン出来るガバガバ仕様だからな。

ドラゴンスクリュー(関東地方) **[EU]** · 2019/07/15(月) 17:42:00.33

ナナコをうまい具合に発展させれば良かったのでは

シャイニングウィザード(四国地方) **[CL]** · 2019/07/15(月) 17:44:54.29

宅ファイル便も真っ青やないか

ラダームーンサルト(神奈川県) **[US]** · 2019/07/15(月) 17:45:25.21

ザルすぎて草
本人確認くらいしろよw
普通秘密の質問みたいなのあるだろw

毒霧(ジパング) **[US]** · 2019/07/15(月) 17:52:45.16

あら便利ね

不知火(SB-iPhone) **[CN]** · 2019/07/15(月) 18:00:01.18

は？入金用のパスワード変更なんて本人以外、誰が知ってようが構わないだろ？

ナガタロックII(シンガポール) **[ﾆﾀﾞ]** · 2019/07/15(月) 18:09:58.43

日本人(マヌケ )が

決済アプリを作ると

こうなります。

ジャーマンスープレックス(公衆電話) **[US]** · 2019/07/15(月) 18:22:05.12

>>64
最適なタイミングでスマホ画面に広告を出すため。
消費者行動はnanacoでも把握できるが、nanacoに液晶画面はついてない。

ジャンピングDDT(福岡県) **[US]** · 2019/07/15(月) 18:23:19.14

セブンってお客様のためにも、フランチャイズ様のためにもならない糞企業だな
本部だけは儲かってるみたいだけど

フェイスクラッシャー(千葉県) **[CA]** · 2019/07/15(月) 18:30:42.02

まあザル設計でないと老人どもがついていけないからなｗ

アンクルホールド(東京都) **[US]** · 2019/07/15(月) 18:31:06.59

ワイはザルや！　セブンペイザルやー！

クロスヒールホールド(東京都) **[IR]** · 2019/07/15(月) 19:04:59.11

この設計した人ってもしかして、、、？

ラケブラーダ(SB-Android) **[US]** · 2019/07/15(月) 19:21:11.05

これ開発した奴もグルでやっただろ

ジャンピングDDT(幻の洞窟) **[NO]** · 2019/07/15(月) 20:06:40.44

セブンアプリって紐づけしてたらnanacoカードかざすだけでデータ反映出来てるんじゃん。これまで毎回スマホの会員コードスキャンさせてたよ。

キングコングニードロップ(東京都) **[CN]** · 2019/07/15(月) 20:10:31.78

どんな馬鹿が作ったんだよ

バーニングハンマー(茨城県) **[CA]** · 2019/07/15(月) 20:11:46.08

ポイント改悪されたnanacoは捨てた

ニールキック(東京都) **[US]** · 2019/07/15(月) 22:10:50.70

IBMかアクセンチュアが1次受けと見た
ザルシステムは大体外資

男色ドライバー(千葉県) **[US]** · 2019/07/16(火) 12:39:56.62

早く作れと怒鳴るだけではこんなシステムになります

ときめきメモリアル(東京都) **[TR]** · 2019/07/16(火) 14:11:23.02

nanacoも危ないような気がしてきたわ
とにかくこの会社のネット関連は地雷確定だろ

フロントネックロック(岩手県) **[JP]** · 2019/07/16(火) 16:07:12.35

サーバー自体やられてる可能性

マシンガンチョップ(空) **[ﾆﾀﾞ]** · 2019/07/16(火) 16:11:27.88

セブンペイ中断中なのにナナコポイント半減は戻さないのだな

超竜ボム(大阪府) **[TW]** · 2019/07/16(火) 16:16:12.63

これはパスワード忘れた時に便利ですね

逆落とし(岩手県) **[US]** · 2019/07/16(火) 19:35:24.10

>>7
仕様決めたセブンが無能なだけ

キャプチュード(長屋) **[US]** · 2019/07/16(火) 19:44:13.27

チャージもできないか2個目のおにぎりが貰えないんだが？
1個目はこないだ貰ってきた

**nemo**(関東地方) **[IN]** · 2019/07/17(水) 19:27:31.24

読売夕刊に中国の犯罪組織がからんでいるなどという記事が出てるし。