【QR決済】「7pay」で不正利用の報告相次ぐ、セブン側は注意喚起 IDやパスワード管理の徹底を求める

[過去ﾛｸﾞ] 【QR決済】「7pay」で不正利用の報告相次ぐ、セブン側は注意喚起 IDやパスワード管理の徹底を求める (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

889: 名無しさん＠１周年 2019/07/04(木)01:49 ID:5JBgAsaS0(1) AAS
前にセブンネットがお漏らしした時にクレカ情報削除してあったけどさあ
使ってないアカウント放置はリスクでしかないから切るしかねーな
セブンじゃなきゃ、って局面ねーし

890(2): 名無しさん＠１周年 2019/07/04(木)01:51 ID:OCbP5EZ80(1) AAS
使ってないのに勝手にクレカからチャージされたって報告もあるけど、どうやったらそうなるの？

891: 名無しさん＠１周年 2019/07/04(木)01:52 ID:Eyl0Fs1Q0(1) AAS
>>886
ID（メアド）と生年月日さえ知っていれば簡単に乗っ取れる
パスワードも自由に変えられる
いくら難解なパスワードにしたところで無意味

892(2): 名無しさん＠１周年 2019/07/04(木)01:53 ID:99SwKdQo0(2/2) AAS
>>886
登録とは別のメールアドレスを送付メールアドレスに入力すればパスワード再設定urlが送付メールアドレスに送られてくるという親切設計
登録メールアドレスと生年月日さえ合ってれば乗っ取り可能ってこと

893(1): 名無しさん＠１周年 2019/07/04(木)01:55 ID:m8GVUZ8d0(4/23) AAS
>>886
面倒なのでロックかかるまで試していないが、セブン関係サイトで多用されている
この簡単な文字認証（ネットに転がっているツールで突破可能）で、過去のやらかしから
ロックもされずに無制限アタックが可能な予感がする
しかも、わざわざ攻撃者にに連絡する為のメアド入力フォーム付き
もしこの推測が当たっていたら裏PayPay祭の再来になるし、被害者も増加すると思う

894: 名無しさん＠１周年 2019/07/04(木)02:00 ID:Ar3aJprb0(1/4) AAS
>>681
> 設計者たちがあらかじめ気づくことができなかった

気づかなかったんじゃなくて、気づいてたけど、これはウチの問題じゃないと思って放置しただけ。

895(1): 名無しさん＠１周年 2019/07/04(木)02:00 ID:m8GVUZ8d0(5/23) AAS
>>890
去年末～今年初めにかけて行われていた裏PayPay祭の時にセキュリティコード
無限アタックで通ったが、すぐに使わず（騒ぎの最中では足が付きやすいから）
寝かせておいたカード情報を使っているんだろうな
似たような事件は今年になってから何軒も起きてる

896: 名無しさん＠１周年 2019/07/04(木)02:03 ID:scwy/CsH0(1) AAS
>>887
俺は現金チャージしかしてないけど被害にあった

897(1): 名無しさん＠１周年 2019/07/04(木)02:06 ID:mI9lyPh10(5/6) AAS
>>892
あーそういうことかｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

898: 名無しさん＠１周年 2019/07/04(木)02:07 ID:mI9lyPh10(6/6) AAS
>>893
無制限アタックはやばいってpaypayで学ばなかったのかな・・・

899: 名無しさん＠１周年 2019/07/04(木)02:08 ID:6LnzqU+l0(1) AAS
>>602
セブンは本部がクレカだかを、お漏らししてたろ。

900(1): 名無しさん＠１周年 2019/07/04(木)02:09 ID:cojyM87H0(1) AAS
おにぎりアタック？

901: 名無しさん＠１周年 2019/07/04(木)02:23 ID:m8GVUZ8d0(6/23) AAS
>>900
今なら全品0円です！（＞＜）

セブン氏ね！

902: 名無しさん＠１周年 2019/07/04(木)03:18 ID:CX5dbQe00(1) AAS
あーあ。

903: 名無しさん＠１周年 2019/07/04(木)03:24 ID:EHGnO5ni0(1) AAS
この物言いだと客のせいのように思えるよな。

904(1): 名無しさん＠１周年 2019/07/04(木)03:33 ID:m8GVUZ8d0(7/23) AAS
試しもせずに文句垂れてるだけなのもアレだから>>870（下段）をやってみた
ロックされる気配は微塵も無い
「登録情報と一致」というハードルは有るものの、「送付先メールアドレス」という
馬鹿げた入力フォームが有るし、恐らく無限アタックが可能で数打ちゃ当たる状態

参考：入力完了後の画面説明
> ご入力いただいた内容が登録内容と一致している場合に限り、登録されているメールアドレス宛に
> ７ｉＤ（会員ID）確認のご案内を送信しております。
> 手続きが完了してもメールが届かないお客様は以下の理由が考えられます。
>
> ※お客様によっては配信に数分かかることがあります。
省5

905: 名無しさん＠１周年 2019/07/04(木)03:45 ID:m8GVUZ8d0(8/23) AAS
>>904に追記
ブラウザのキャッシュやcookieが保持されているならば、ページを開き直しても
入力フォームの「生年月日」や「送付先メールアドレス」は保持されたまま
後はツールで「画像認証」の入力値を書き換えて、「7iD（メールアドレス）」の入力だけと
クラッカーに優しい親切設計

906: 名無しさん＠１周年 2019/07/04(木)03:47 ID:viLOJNu70(1) AAS
PayPayの時は文字通りカードの不正利用だったけど
今回の7Payは認証やパスワード再発行に問題があるとはね
これはセブンイレブン言い訳できないよ

907: 名無しさん＠１周年 2019/07/04(木)03:55 ID:q0rCVbHB0(1) AAS
プリペイド方式で賊に入り込まれたら
銀行口座潰さないと　滅菌出来んぞ
（自動積み込み式プリベイトは　法で解約できないのよ）
銀行口座をＭ字開脚して
観音開きで賊に渡してるんだからな

908(1): 名無しさん＠１周年 2019/07/04(木)03:56 ID:m8GVUZ8d0(9/23) AAS
もう一つ言っておくと、「生年月日」や「電話番号」、「会員ID」さえ合っていれば
無限（恐らくそう）に試行できて、「送付先メールアドレス」へ当たりだけ送信される点
大量のゴミメールから当たりを探す手間も省かれる超親切設計

上下前次 1-新書関写板覧索設栞歴

あと 94 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.011s