7payのアレ
既にあちこちで話題になってる7payの件。
もう、セキュリティ素人が見ても分かる穴だらけのガバガバセキュリティ過ぎる。
色々あるけど、サービス開始当初の状態で
アプリログインにMFA(多要素認証)が無い
アカウント登録時 生年月日を登録しないと2019年1月1日が設定される
アカウントのパスワードリセットに登録時と異なるメールアドレスを指定できる
つまりアカウント(実質登録時のメールアドレス)と生年月日(未設定だと2019/1/1)さえ分かれば、誰でも容易にアカウントパスワードをリセットできる→乗っ取り放題
これって、申し訳ないけど素人目に見ても酷いし、ハッキングスキルなんか何も要らないのでこんなの「乗っ取られて当然」とも言えそう。
正直「脆弱性」や「悪質なサービス攻撃」なんてレベルでは無く「そもそも設計段階でセキュリティリスクを全然想定していない」としか思えない程の根本的な設計ミス。
ただ、それよりも何よりも問題発覚後のセブンペイの会見が色々酷すぎる
アカウント管理については「ユーザーの利便性を考えたもの」
「脆弱性の問題は無い」と認識している
新規アカウントの登録やクレジット入金は停止したが7payのサービスは停止しない
ありとあらゆる点について危機意識がなさ過ぎる。
これが、ちょっとしたWebサービスならまだしも仮にも決済サービス、それもQRコード決済の中では最後発と言えるこのタイミングでリリースしておいてこの体たらくはあまりにも酷すぎ。
7/5の時点でようやく見直しを行い2段階認証の導入や、入金の上限額設定などが発表されたようだけど色んな意味で遅きに失した気がする。
「7pay(セブンペイ)」に対する不正アクセスの件(第3報) セキュリティ対策の強化を目的とした新組織発足のお知らせ
paypayも導入当初にアカウントの乗っ取り騒動が合ったりしたが、7payは全くそれから学んでいなかったらしい。
そして、paypayと7payの騒動で「QRコード決済」全体のイメージ悪化は少なからず起きそう。
そもそもここ1〜2年のQRコード決済の新規サービス乱立で最早訳が分からないことになりつつある。
クレジットカードと電子マネー/NFC関連だけでも既に数が多くて大変だったのに、更に雨後の筍のごとく乱立しまくったQRコード決済でもはやカオスと言って良い状況。
そもそも、カードに紐付いたクレジットカードや、Felicaカード/対応スマホをかざすだけで良い電子マネー決済に対して、わざわざアプリを起動して画面表示させないといけないQRコード決済は手間が多い上に、互換性の無いサービス毎に起動するアプリも異なる、となれば現場での混乱も考えると規格の乱立は百害あって一利なし。
頼むから早急に乱立する規格を集約、併合してせいぜい2〜3種類程度にまとめて欲しい。 各サービス毎にウォレットチャージとか非効率この上ないし、メリットなんか何も無い。
各サービスとも覇権を握りたくて、採算度外視のキャッシュバックキャンペーンとかしているけど、利用者が求めているのってそういうところじゃねえだろ、と思うんだが・・・
