パスワードリセットに弱点がある
これはTwitterのshao (Sho SAWADA)氏が指摘しているもので、パスワードリセットを別のメールアドレスからできてしまうという穴です
同じことができるか、検証しました(7iDでの検証)。
下記は7payの機能が内蔵されたセブンイレブンアプリのログイン画面。「パスワードをお忘れの方」というパスワードリセットのリンクがあります。クリックするとメールアドレスの入力画面になるので次へ押します。
画像
なんと別のメールアドレスにパスワードリセットメールを送信できる
問題は次のパスワードリセット申請画面です。
生年月日と電話番号を入れるところまではいいのですが、その次に謎の入力項目があります。
7payクレジットカード不正利用
7payクレジットカード不正利用
赤で囲んだ部分は「送付先メールアドレス」です。なんと登録しているアドレスとは別のアドレスに、パスワードリセットメールを送信できるのです。実際にやってみました。
別のメールアドレスにパスワードリセットメールが来た
必要な情報は「生年月日」「電話番号」「メールアドレス」の3つだけ。その上で別のメールアドレスを設定します。
https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/
7iD(オムニ7)のパスワード再設定画面から「送付先メールアドレス」が消えたけど内部的には有効になっていて、開発者ツールでメアドを入れたら登録してあるメールアドレスと「送付先メールアドレス」の両方にメールが届いて草
https://twitter.com/menn/status/1146607877961818113?s=21
https://twitter.com/5chan_nel (5ch newer account) 客のクレジットカード扱うのにセキュリティ意識低すぎない?
いや、まじで
バックエンド側で無効にしなきゃ意味ないだろwwwww
なんで表だけ変えた?
おれのマスターカード、本人確認なぜかできず
なぜか登録できん。
チャージ不便。d払いとpaypayで十分。
にどとつかわない。
なんで瀬文安土愛って
ネット関連の事業は素人以下なの?
ボケ老人にでも作らせてるの?
逆になんでその仕様になったのかがまず疑問
別メールアドレスに送信できるようセブン側が要求したんだろうけど
>>11
どこのカード使ってんの?会社によってダメらしいが PWリセットが別のメルアドできるとか
ちょっと何言っているのかわからない
そんなアホなセキュリティあるのか
ペイペイはまだ還元祭りがあって
群がった奴らの自業自得感もあったが
セブンお前はクソだなw
ペイはどこもゴミのようだな、そもそも支払い方法もまどろっこしいしどうしようもねえ
>>1
パスワードリセットするときメアド入力とか考えられない
登録してあるメアドに自動送信が普通じゃない? 自分たちの無能さを晒している
鈴木よ、引退しろ
もうこれ以上セブンに迷惑かけるな
株主に詫びろ
>>21
登録できなかったのは、UCマスターカードと
アメックス・セゾン ペイペイの無差別クレカ窃盗の時から一切信用してない。
アプリ開くのが想像以上に面倒だからね
意外と普及し無いのかもと思えてきたが、まぁもっとめんどくさがりの中国で普及してるからねぇ
すっごく便利そうだな?
まさかペイペイ超えのザルが出現するとはなwwwwwwwwwwwwwww
セブン安土i 失敗例
1 セブンネットショッピング
2 omni7
3 7pay ← new!
>>34
登録時のメアドが使えない場合の事も考えてかもしれんけどそれならもっと確実な本人確認にしないとな セブンって本当にITやシステム系に弱いよね
相変わらずのおバカだわw
みんなよく、なんちゃらpayなんて脆弱スマホ決済使えるな
俺は怖くて無理だわ。普通にクレカで手間変わらないし
パスワードが社内でどう管理されてるか疑問だな
担当者は客のパスワード閲覧できる仕様だったりして
>>38
Peypayがこえーと思ったのは問題はじめの頃サポセンが指導入るまで、被害者にまともに取り合わなかったこと
被害者多数になってザワ付き始めて動く様が怖すぎる
ソフバン系はいつも入り口だけ利益があって、その後がひどいんだよなぁ 別のメールアドレスでパスワードいじれるの?
その意味がよくわからん
>>37
VISAやマスターカードでも今のところこの会社じゃないとできないってまとめてあるサイトがあったわ
なんでこんなことやってるんだろうな
三井住友カード
セゾンカード
ニコスカード
DCカード
MUFGカード
UFJカード これ多分国外に開発させてるだろ
日本人なら個人制作のサイトやアプリでもやらないレベルのミス
メールアドレスが使えなくなったら
使用している端末に機械音声で電話発信する
MSがやってるやつでいい
アカウントにログインしてアドレス変更
>>54
マジでちゃんとしたSIとかに論理的に整合性とれてるロジック作ってもらえばいいと思うわ
マジでセブンのシステム屋は頭おかしい >>49
キャッシュレスならそっちのが一枚でどこでも使えて簡単だからなあ 他に比べて神だったnanaco100円1ポイントの優位性を棄てて下らねえペイ合戦に身を投じて墓穴を掘るとかアホなのかよ
規約で金は返さんと主張してるところに登録する馬鹿が多いんだな
電子決済はPayPalが最強なんだから国内のはいらんだろ
今やってる緊急会見で不正が働く余地がないから今も利用停止はしてないっていっててワロタ
この手のシステムはある程度熟成されてるもんだと思ってた
>>58
他人のアカウントのパスワードを自分のメルアドに送り放題なんよ。アカウント盗み放題なんよ >>72
Paypalって言ってるんでしょ、にてるけどなw >>1
汚らしいエラ張りブサイク整形レイプ民族チョン。
整形なしには人前に出られないほど醜悪なパンスト朝鮮顔をしてるくせに、
日本人のふりをして性犯罪を犯しまくりやがって。
朝鮮民族は、歴史的によそ様の国でも凶悪な性犯罪を繰り返してきたゴミクズ民族。
東南アジアの女性たちに最も忌み嫌われている。
ベトナムでは朝鮮人による連続強姦で生まれたライダイハンが大量発生して社会問題になっている。
日本人女性たちは戦中も戦後も、朝鮮人による性犯罪に苦しんできた。
いまも日本人女性を汚しまくってるAV男優とAV撮影者のほとんどが在日朝鮮人だ
●●● 深刻化する在日朝鮮人の性犯罪 ●●●
http://seihanzai.tripod.com
. >>69
結構前からバカな仕組みで存在してたのが7payでそのアカウントを使うことによりバカだったって事が一気に広まったの >>59
そうなんだ!
さすがは7安堵哀
門前払いは顧客を考えてのことだねw オムニ7のアカウント持ってるとやべーのか?
よくわからんけどほとんど使わないので速攻退会完了した
メアド変える場合はあるから、有り得る設定だと思うお
素直にセブンは他の決済サービスに入れてもらったほうがいい
ただのコンビニ屋だったんだって素直に認めることも大事
普通に考えてまずサービス停止だろ
不正利用放置してサービス続行とか何考えてんだよ
>>86
ない
メールアドレス変更するにしてもまず元メールアドレスと移行先メールアドレスが存在することが確認できないとダメ 過去にも色々と「ちょっとこれ以上の間抜け仕様はありえんな」って事態は
あったように思うけど、更に上を行くの止めてほしいよね。
最近まれにみるバカな対処だと思うが、
元々nanacoモバイルの機種変更の不便さに不満があった人が
仕様を作ってセキュリティをがばがばにしたとかいうなら
わからんでもない、わけねーわ
日本企業ってどうしこうネット上の商売が下手すぎるんでしょ。
昨日今日の話じゃないし、もう構造的な問題があるとしか。
一つはスキルの低いIT屋の乱立なんだろうけど。
>>77
他人のアカウントのメアドと生年月日と電話番号知らないと盗めないんだが >>59
おー、そうだったのか。
おかげで俺の虎の子ヨドバシが晒されずに済んだわ!
あぶねーとこだった。 セブンは楽天と仲良いんだから素直に楽天ペイ入れればいいのに
このシステム管理してる会社どこ?
まさか評判最悪のNECとかじゃないよな
>>91
プロバイダ変えたりしたら元メアドが使えないわけだが >>97
知り合いとかので知ってるパターンは結構あると思う
>>100
それが一番怖いわw >>98
俺もそう思うわ、やっぱ長年ネットで商売やってて
自社カード持ってる会社はセキュリティつええよ >>94
バカなんだろ
ほんの少しの危惧されるリスクがあっても、
「あー、そこは規約でうちのせいじゃないってやるんで大丈夫なんですよ〜、」
とかアホな会話で仕事してないんじゃないのか 40万とか抜かれた人
被害補填されなかったら・・・
おにぎりをもらっただけなのに
(; ゚Д゚)これは他人の生年月日と電話番号、メアドを知ってれば、いらくでも不正できちゃいました
ってオチなのか?
なんだその機能・・
最初から詐取目的でデザインしているとしか思えない
セブンは詐欺企業だな
>>109
こんなもんベネッセ流出リストだけでも相当おるわな このままサービス開始4日目で緊急メンテに入ってサービス終了
とかなったら、どこぞのスマホゲーみたいやな。
セブンは宣伝費を積む上得意客だからマスゴミに守られるだろうな
マスゴミ、電通を解体しない限りブラック企業は延命し続ける
>>109
誕生日は実は設定してないと勝手に7/1になる
こっちのが問題や
>>111
(; ゚Д゚)ベネッセってあの大量流出事件か
7ペイひどすぎるなw
どうなってんだ とりあえず7payだけじゃなく
セブン&i関連の会員やアカウントは
全解約したほうがよさそうやな
ちょっと企業として信用でけへん
セブン&!で使うのはトイレとATMと7プレミアムだけやな
他人の生年月日や電話番号は分からんだろ
大騒ぎするのは変じゃね?
これが日本の技術力なんですよ
韓国産のLINEペイのほうがずっと安全ですよね
ファミペイはやらかしてないみたいだな
ファミチキじゃ釣れなかったか
>>120
お前は知り合いの生年月日とメアド知らんの? ベネッセのヤバかったな
担当者がUSBメモリで顧客情報ぶっこぬきして
そのまま名簿屋に持ち込んだ
>>115
あ、1/1やな
セブンイレブンにつられてしまったw これ 無職やニートで人生詰んでるやつが不正アクセスしてチャージしまくったら人生大逆転ちゃう?
5000万くらいクレカからチャージ出来るんちゃう?
バカな俺でも判る仕様だな
中華が一瞬で一人頭1000万円ぐらい儲かるシステムかよw
おいしいなぁ
>>115
(; ゚Д゚)はぁ???なんだこれ??
最初から「〇〇で設定されます」って表示されてるのか!?
それ使って変更手続きするってのに・・・ >>1
いいねいいねw
今日もIT後進国ニッポン全力衰退中だなw
ほんともう技術が無い
これにつきる >>120
いやだから、他のサイトでそのへんの基本情報のリストなんか裏サイトで売買されてるっての >>1
登録外のメールアドレスに送信おkとか使い勝手良過ぎだろw >>120
その辺は漏れた顧客情報でセットになってる事がよくあるからセキュリティにならないよ 登録しちゃった人は一刻も早く退会しとくべきだな
パスワード設定する意味がないとか怖すぎる
>>121
KCIA検閲上等のLINEは韓国国内ですらみんな使ってねえだろw iOS版は新規会員登録で誕生日を空欄のままでも登録できるとか。
ほんとにガバガバすぎる…
チャージ式はやめとけ
QRコード払いを使いたいならクレカ決済出来るやつにしとけ
>>138
そうするとデフォルトで7/1になるってのがやばいw
労せず一個クリアできちゃう まあ、中華かどっかの安いシステム屋に丸投げして、わざと穴残されてるんだろ。
>>49
70%還元、20%還元に釣られてる
イオン & dの40%にも釣られる >>86
パスワードリセットとメアド変更を同時に受け付けるなんてありえない
IDとパスワードを同じ紙に印刷して郵送するよりヒドイ >>141
なんだそのシステム・・
詐取するためにデザインしたとしか思えない
セブンは詐欺企業だな >>135
楽天銀行はハガキが送られてきたね
アドレスと1週間パスワードが書いてある 記者「二段階認証を入れなかったのは?」
セブン「二段階認証? ? ?」
これはないなぁ
結局、リスク回避にかかる費用をケチって実装しにしか興味のない額の提示をするからだろうね。
そういう経営者や役員が現役でいる事自体、生き残るつもりがあるのか疑問だし、
一番ことの重大さをよく知ってる現場サイドは上が予算握ってるんだからどうしようもないわな。
本当に銀行業務やってる会社なのかよ
金融のイロハすら出来てないじゃないか
>>135
メアドの登録変更しようとしてパスワードが分からないってなると詰んだりする場合が
パスワードちゃんと管理してないのも悪いって話にもなるんだが 結局コレ登録した人気持ち悪くなってクレカ再発行するよね
めんどくせーなぁ
2段階認証を強制すればいい
Appleだってそうだろ
>>153
レアケースなんだから個別に本人確認して対応すりゃいいのにね
まあそもそもの母数がでかいから人力対応を嫌がったのかも知れんがw >>153
本人確認書類の郵送という手段があるだろ >>154
クレカ情報が見えた訳じゃ無いんでしょ?
クレカ登録は解除しないとだけどそうすればカード自体の不正利用はされなくなると思うんだが 学生ベンチャーが作ってパソコンよくわからんおっさんが仕様を確認してゴーサイン出してんのかな
外注出した先の社員が不正をするために別アド飛ばし機能を付けたんだろう
>>153
ゲーム会社とかでもスクウェアエニックスは自分とこのアカウントは住民票とか無いとアドレス変えられない仕様です。
客の金握ってるセブンのなんてザルなことか >>168
そこまでせんでも、セキュリティ意識のにぶいIT屋は昔やったのと同じ実装をしたがるからな。
時代遅れだとしても。
中国人どもにはそういう実装はバレバレなんだろう。 >>1-3
セブンイレブンの無能が生放送会見してるぞコメントしまくれえええええええええ!!
>>166
ログインできるってことは設定から登録してるカード番号くらい見れるんじゃないん? ペイペイもだが新規参入はノウハウがないから
他がした過去の失敗を繰り返す可能性があるんだよな
>>34
はい
プロバイダ変更で登録メアド使えないとかはレアケースだから専用ページか電話か郵送対応でいい >>160
ここって7dream時代からシステム変わるごとにアカウントの引き継ぎやってたような気もするからメアド以外も住所や電話番号が昔のままの人もいるかもしれん
>>163
それやってくれるところって少ない気がするんだよ
>>173
スクエニはそんなことやってるんだね 意図的としか思えん。
どこの業者に任せたんだ?
業者名と国籍を明かせ。
>>177
最近ってカードの登録しても確認画面じゃ下4桁しか表示しないところが大半じゃない?
昔JoshinとAmazonの登録情報組み合わせるとカード番号全部分かるなんて時代があったけど今はできないし ユーザーデバッグが前提のもしもしゲーですらここまで酷くないぞ
>>178
普通は他がしたアホなことは対策するもんだけどな
全くの新システムと言うわけではないし
アホすぎなんだよ >>181
技術的な問題ではなく常識的な問題だと思うんだけど >>165
仮にそうでも仕様を発注した方が悪いので スクショ防止で前部分隠すのも多いけど
確認のためにON/OFFできる機能もだいたいついてるしな
開発者に詐欺の仲間いるんじゃない?
わざとそういう作りにしたんじゃないかと思ってしまうわ
セブンの会見すげぇわ、返金は考えてなくて警察への被害届で対応が基本なのかw
ほんとにお手軽や
>しかも生年月日は任意の項目(iPhone版で確認)で設定しないと2019年1月1日に設定される仕組みなので
>生年月日を設定していない人のパスワードはメールアドレスとそれに紐付いた電話番号でリセットすることさえ可能
>>196
マジか。この雑システムのやらかしで、返金なしで済むもんなんかなあw >>175
まじめに作ってこの仕様はあり得ないんだが 約款に
・不正アクセス等の被害に対しては当社は責任を負いません。
とかちっさい文字でかいてあるんじゃない?
>>198
会見見たほうがはええよ
前のコメント拾えば流れはわかるかな セブンのしかけで何処かに金が流れて
セブンは損無しと
美味い商売だなあ
せめてチャージぐらいは多要素認証入れましょうよ
どんだけ日本のIT企業はバカ技術者しかいないの
俺がセブンの社長なら取引停止と担当者のクビを要求するレベル
これ俺が犯人ならプリベイトカード大量買いするわw
なんだよタバコ大量買いってw
なんでこんなバカがシステム作ってんの?
死ねばいいのに。
>>201
書いてあるよ。でも、このザルセキュリティのせいだと、裁判すれば無効だと思う。
裁判までいくかどうかは知らんけど… どっかの会社が
ボクの財布なのにボクの金じゃない みたいなCMやってたよなぁ
キャッシュレスもキャッシュもさして変わらんなぁ
つか、間に業者が入らない分キャッシュの方がお得
企業側もこれ使おうとしてた消費者側もどっちも馬鹿
自業自得だ
>>207
「被害だと確認できたら」全額保証するって感じだね
まぁ当たり前だわな セブンの過去のお粗末なクレカ流出を知ってる人は
セブンペイは絶対使わない
>>215
いや、つかないからオレオレ詐欺でよく使われるんでしょ まだ被害に気付いてない人もいるんじやないの?
おにぎりだけのために勝手にメアド使われた人もいるみたいだし
>>205
チャージの上限は10万らしいから1個10万だぞ!
だから20万にするには2個買わないとな! >>219
一番やべーのってコツコツ使われることだよなw セブン本部のの
危機管理おかしいぞ
馬鹿じゃねえか
>>222
システム屋の危機感と違うよね
説明してる役員の場違い感がすごい コインチェックに比べたら微々たる額や ハナクソみたいなもんw
調査中だから
脆弱性を認めない緊急記者会見って
意味あるのか
>>216
オレオレの場合は、買ってるの被害者で
それを転売するからバレないって話でなくて?
今回のは、買う時は加害者側なんでないのん? すげえー穴っていうけどバカなんじゃないの
何かメリットがるの
コインチェックと同じでさ
素人が金融のシステム組もうとするからこうなるんだよ
とりあえず違法化したほうがいいわ
このケースって不正側の人間でも被害者を装う事可能だよね
被害にあった全員を身辺調査する訳にはいかないだろうし、どうするんだろ?
>>227
いや転売じゃなくてシリアルコードから自分のサービスにチャージするんでしょ これはこの先のセブン、こっそり少量化作戦がますます捗るな!
> パスワードリセットを別のメールアドレスからできてしまう
まるで奇跡みたいな馬鹿仕様だな 誰だよ発明したのは
あれ、未確認だけど 各種商品券(amazonギフト券など)の購入可能 だって
ある意味神アプリやね
コンビニ業界はすぐライバル他社の真似するけど、いつも上辺だけなんだよな
緊急記者会見
情報危機管理のプロにサポートしてもらったほうが
よかったんじゃない
素人役員がセブン本部は悪くないって
喋っただけ なんなのよ
>>236
それじゃ現金にならんやん(´・ω・`)? >>238
マジで?セキュリテーに疎いワイでもヤバイと思うぞ >>239
nanacoギフト券以外の他社のは買えたとかって話だったと思う 流石にテプラだらけのコーヒーメーカーを作らせる企業だけあるなw
クレジットカード紐付けしてこのセキュリティ
って客を何だと思ってるの???
こういうシステムって施工前にホワイトハッカーにセキュリティチェックとかして貰わないの?
パスワードを忘れたりすると
登録してるメールアドレスにリセットサイトにアクセス出来るよう
URLが届いたり記号が送られてきてアクセスが可能になるのにね
そこからチャージできるとかバカみたい
クレカ情報が見れたりすると最悪だけどそれはないかー
>>243
Amazonとかのギフト券を大量に書いとる業者がいるらしいからそっちに流しちゃえばコンビニの防犯カメラぐらいしか証拠が残らん気がする ガバガバにガバガバを重ねるなよ…
どんだけ安く作ろうとしたんだ
>>251
パスワードリセットメールを任意のアドレスに送って勝手に変更できるって話とログインしてチャージして不正利用って話がなんで混ざってるんだい? >>258
これまでいっぱい顧客リスト流出するニュース見てきたからなw >>258
生年月日はiOSなら未入力で登録が出来たらしい。
その場合はデータ上は2019/1/1になってるらしいww >>256
会見した役員とかなにをどう修正したのかわかってなさそう 俺の電話番号とメールアドレスと生年月日をセットで知ってる奴は一人もいない
俺は勝ち組
>>257
似たようなことじゃないの
だって設定画面にアクセスが可能になるんでしょう
設定画面からはクレカの設定変更とかも出来るとかでしょう 会見してるけど二段階認証を知らないらしい
あかんやろこれ
パスワードリセットを別アドに送信した履歴から
受信したスマホの持ち主分かるよね
緊急記者会見
脆弱性は完璧にチェックしました
セブン本部は悪くありません
被害者金額は概算で正確に把握していません
システムは止めません
クレジットカードチャージ止めていますが早急に再開します
バカじゃねえの!
数日前にセブンペイは一切保証しないって利用規約にあるってスレありましたが
ワンピース的な伏線ですか???
セブンイレブン 白浜滝口店
3 なんだこれ
突貫工事で作ったから穴があるのはわかっていたのだろう
>>185
まるでシステムの欠陥を事前に知っていたような手回しの良さだな >>269
今どきネカフェのブラウザで受信できるけどな >>276
遅くとも7/11までにはサービス開始しときたかったんやろね ざっと見てきたけど、まあひどい仕様だな。
2段階認証以前の問題で、指示出す方も問題だが受け側がこういうことしちゃいかんと言えないスキルの低さも問題だわ。
>>278
でも買い物するときはスマホなんでしょ? >>280
システム止めない宣言
これからやってくるぞ
残金ゼロにしとけ >>270
警察への被害届も出すって言ってなかったっけ
警察めんどくせーだろうなぁw >>270
危機感ゼロでワラタ
失った信頼は大きいぞw >>285
だね、メールの話とは関係ないね
QR読ませるだけよ そもそも別に攻撃すらしなくても普通にフォームから盗めるもんな。
数日前にセブンペイは一切保証しないって
利用規約に書いてあるってスレありましたが
ワンピース的な伏線回収ですか???
配ったおにぎり代は回収出来ましたか?
>>274
同じ文章打ったけどそうならないからなにか偽装してるぞ >>289
警察「あんたらさぁ、ペイペイのニュース知ってんだろ?
ザルシステム構築してわざと被害出して俺らの仕事増やさないでくんない?
公務執行妨害でしょっぴくよ?」
セブン「ペイペイ?ニュース?知りません」
警察「はぁ???」 >>296
そういえばPaypayは総当たりが何回でもトライできたのが原因だったね 金融庁はなにやってんだ
すぐにサービス停止させて行政処分しろよ
本当に一度、凍結して
管理セクションを入れ替える方が近道なんじゃ…
>>274
お宅のセキュリティ元気よろしおすなぁ
って書いとけ いちおー、クレカチャージは止めてんのか
しかし会見で火に油注いだみたいだな
>>274
文末の改行で不正扱いになるんでしょ。
変な仕様だけど。 クレカでチャージが出来るとクレカ情報が漏れてると
セブンペイに登録してない人のクレカが利用できそうだけど大丈夫なのかい
お年寄りがプリカ買いまくってるのは注意するのに、
7payでプリカ買いまくってる人はスルーしたのかな
どこの会社も、高学歴の馬鹿が主導権握ってるからな、日本終了w
>>1
こいつは魂消た。
セキュリティホールなんて生やさしいものじゃないぞ。 パスワードを別のメアドに送れるようにしてあるってわざとだよね?
や〇ざとかと繋がってるんじゃないの?
日本のITレベルの低さよ
この分野だけは中韓にも大きく遅れをとってる
正直最古参Origami Payは別にしてpaypayも7payもあかん
トラブル報告がほとんどなくてセキュリティ信頼できそうな会社って
今の所、楽天ペイとメルペイだけか
やっぱIT出身がセキュリティ面は強いね
なにか電子的に価値のあるものってほぼ必ずセキュリティ上の問題が出てくるよね
これとpaypayは流石にザルすぎだけどw
登録している人の本人確認はどうしてるんだろうね
ペイで決済したとして警察が調べたら決済した人のとくていはできるん?
オーナーを24時間営業させたり
客の情報管理がザルだったり最悪の企業だね
コーヒーメーカーのUIすらまともに作れない企業なんだから、電子マネーやらせたらこうなる罠
大学のゼミや同人サークルでの
身内用ツールよりできが悪いんじゃねえの?
クレカ会社ももう新規の電子マネー類はクレカ決済の手続き重くするべきじゃねえの
スキミングどころかじゃないから
2段階認証にして電話番号にショートメッセージもいれてないのか
無茶苦茶だな
>>334
出来ないと思う、今の会見見てる限りだとw
PS4とかでやってるみたいに機器そのものとアカウント結び付けないとアカンわな >>324
セブン銀行に金おいてる人は全額他所に移したほうが安全だね。 電話番号とかメールアドレスが他人に知られてる奴なんておるん?
>>333
paypayと比較にならないほどザルだろ エンジニアが無能ではなくて要求側が無能な最たる例だぞ
クレカ会社も不正使用をペイ側が持てば提携した方が儲かるよね
電話番号もメールアドレスも変わる可能性があるから
完璧なシステムを作るのは難しい
もしかして SNS と SMS の違いわかってない?
ぺいぺいとかスマホ内の情報吸い上げて中国に送ってそうで怖い。
>>342
短納期でセキュリティ組む時間も報酬も貰えなかったんだろ
こうなるに決まってる >>339
出来なかったらクレカ情報が漏れてたら関係ない人のクレカが
使われるかもな。クレカ持ってる人はチェックが大変になるよね >>258
Pontaだっけ?
生年月日は個人情報だから他人に漏らすなつーたの このシステム組んだの、プログラミングを覚えたての小学生か?
>>79
文字にすると似すぎててこういうミスリードを誘ってるんだと思ってるw 総務省金融庁は
こういう出来損ないシステムの企業の
電子マネーや銀行の経営権取り上げまでやってもいいような
民業圧迫で済まない被害
>>352
ソフトバンク系は自分も苦手、あれだけ言われててもファーウェイ基地局使うって表明したし
自分もクレカは流石に預ける気にならんわ
大きなニュースになって世間がざわついてから初めて保障表明したし
自分だけが不正利用された場合に対応してくれる気がしない >>355
誕生日なんか他の人に教えないなろ普通
今まで一回も教えたことないぞ SMS認証と二重認証を入れなかったのは
今の時点では謎レベル
いま店舗で買い物してきたんだが、
店員と違うロゴ入りの黒いユニフォームみたいなの来た人が、
レジで輩に怒鳴られて半泣きして謝罪してたぞ
被害届を出すために拘束された時間と精神的苦痛も賠償よろ
新しいサービスはすぐに使わないに限るな
こんな素人の作ったサービスが普通にあるんだから
金が絡んでるからセキュリティが高いとか思わんほうがいいな
仮想通貨関係もゴミみたいなセキュリティばっかだったし
おにぎり欲しさにクレカ再発行手数料1000円払う羽目になった馬鹿
個人情報=おにぎり1個
クレカ情報=+おにぎり1個
「生年月日」「電話番号」て結構突破厳しくない?と思ったけど
名簿流出してたら一発なのかな
パスワードを他のあどれに送れるようにするなら、保険の認証が必要だわな。
結局何が問題で盗っ人に取られたか説明したの?
>>586
セブンの社長が土人
914 名前:名無しさん@ご利用は計画的に [sage] :2019/07/04(木) 15:07:10.70 ID:CgVi31Zw
SMS認証の質問に対するセブンペイ社長の回答
「SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」
SMS = ツイッターらしい
あかん…………
セブン&i、あかん……… スマホから銀行口座触ってるのも信用できない。
スマホには必要最低限の情報しか入れるな
>>378
手口明かしたら、まだやられるんじゃね?
サービス停止中? サーバー側で対処しろよ
まさかサーバー使わずに、、そんな仕様あるわけないかww
>>380
なんちゃらペイはみんな、クレカ、口座ひもついてる。 >>343
スマホでネットショッピングなんかやったら知られてるんじゃない? どんな会社が作ったんだろう?
一般的なのを提案したら「お客様面倒くさいよね。もっと簡単に登録できるようにして」って言われたのかな?
>>381
まだサービスは止まってないみたいよ。
止めるまでもない?ならそんなに深刻な問題ではないのかな?
或いはその判断が出来ないほどなにもわからないのかな?
謎 >>387
まぁ深読みするなら、捜査協力で泳がせてる
・・・ないか スマホのキャリア決済じゃなくクレカ決済だから、
有象無象のベンチャー企業なコンプラ何それな開発会社が関われる案件じゃないんだよね本来
大手SI屋が絶対噛んでるはずだし、テストしてないはずもないし、
そもそも最初からこのトラブルをやるつもりだったんじゃないの?
味でセブンに勝てるとこないからなw
炎上は嫉妬でしかおこらないw
修正したので鎮火すぐだなw
あれだ。
災害で破損した家屋にブルーシートを掛ける感覚。
copycopycopyの会社に何を期待してるんだ
商品開発部は最強だから、まぁ現金使ってねでさっさと立ち直ったほうがいいいよ
>>386
下請けは(本物の技術者なら)認証の話もしてるだろうけど、不要と突っぱねられたら外すしかない
技術部門から飛ばされた寄せ集めの子会社なら下克上できないとか >>1
2段階認証知らないとか、
イエスマンしか周りにいないんだろうな
情シスの若手とかベンダーが、2段階認証取り入れよう!って言っても、社長や役員「ユーザーの手間かかりそうだからイラネ」→配下「御意!」
ってなってそう
妄想ですよ、あくまでも。 メルアドだけでパスリセ可能と
それを他のメルアドに送れる組み合わせがヤバイ
いかに日本のまともな開発者が貴重かわかる良い事例になったわ
つーか、こんな大事なことを7payアプリの「トピックス」で未掲載なんですけど。
いわゆるユーザー保護の観点から問題なんじゃないですかね。
本来「マイセブン」から見られるようにしないといけないスキャンダルでしょうに。
危機管理が全然出来ていない。
オムニ7の20%還元、ガラケー使いを締め出したからバチが当たったんだ
>>387
カードチャージは停止したから不正利用できないもん!チャージしてある分が使えないとお客さんが困っちゃうからサービス停止しないもん!!
(チャージした人と使う人が同じとは言ってない) 5500万補償としても実はガチガチにテストするより安上がりの炎上商法じゃねーかな?
テスター1人日5万でもかなり金かかるし、
ニュースで取り上げられまくるから悪名と言えど知名度は上がるし、
スポット広告をCM流すにに比べたら破格
同日にサービスインしただけで無関係なファミマも、
qr決済はバグってるんじゃねというネガティブイメージは負わされるし…
あとは、問題があれば必ず補償するセブン、今はもう完璧になったセブンペイ、が浸透していくだけだし
どうせエンジニア側は止めたのにセブン側が無理に要求通させたんだろう
別アドにしても非表示にしても
paypayが結局何もなかった事になってるように
7payも何もなかった事になる
今回の騒ぎは現金でチャージしてたからあんまり関係ないと思ってる
不正利用されても数千円の被害だし
何でもクレカと紐付けするのが怖いからキャッシュレス化に抵抗あるんだよな
>>412
文系社内官僚は他人に指示ばかりして出来たものを精査する能力が全く欠如してるから。 >>414
補償完璧って言うけど被害者の体験談だと初動の対応、クレカ会社に全力で責任転嫁してたやん >>417
だろうな、でも上層部がこんなんだと醜態さらしたな大丈夫かよ >>416
技術も事務も営業も分かる奴しか経営しちゃならん
何一つ分からんのにコミュ力政治力だけ強いバカが多いからこうなる セブンPayで100円のオニギリが10000%のお値段に!
7pay止めてnanacoのみにします
ポイント還元率は今まで通り0.5%です
>>379
これ社長にしといちゃマズいレベルの人だろ
誰かこのafo社長にファミペイ登録させて違いを体験させろよ 120(最新)
mdr***** 7月4日 15:54
7pay不正アクセス利用された者です。
今のところ、クレジットカードでのチャージ設定にしているので金額上はかなりの損失状況ですが
デビットのように即時通帳からの引き落としではなくて辛うじて、
金額の数字上が動いただけなので、あとは7pay側の処置の仕方に掛かっています。
私の場合は、不正利用された分合計額91,120円について、7pay側が負担をして返戻される事を望みます。
うぁぁぁ
高価だが安全なシステムを、安くて粗悪なシステムが駆逐しつつある、まさに中国的
貧乏人ほど安全に金を出し渋るからね
>>380
だから今回はそれでやられたんよ
誕生日を設定しないと初期値のままだから
どの道誕生日が分からなくても時間の問題だったけど >>429
俺が社長だよ?そんな危ないもんつかえるかよ セブンネットショッピングの個人情報漏洩から何も変わってないのか
>>428
まぁSMS認証知らなくても社長業はできる
ただ、説明できる本部正社員がゼロなのは割とやばいし、
説明できないくせに前に出てきた判断もやばい >>379
SMSとSNSの区別がつかないレベルって凄いな pay系はキャンペーンに釣られてしまうとバカを見るのが当たり前になりつつあるな
加盟店の店長を過労死させて
巻き上げた汚ない金をつかって
こんなゴミシステムつくったんかい
>>1
>登録しているアドレスとは別のアドレスに、パスワードリセットメールを送信
素人が見てもアウトな仕様。。 こんなバカに依頼した企業は責任とれよな。」 なんとかペイは危なくて使えねえな。
現金が盗まれまくりじゃねえのか?
クワシイ奴なら今ある、なんとかペイから根こそぎ現金盗みまくれそうだな?
>>442
普通はスマホさえ盗まれなければ大丈夫
セブンがザルすぎ >>414
テスト版と言い逃れできない仕様段階のミスなんですがそれは >>1
アカウント適当に打ち込んでヒットしたらもう
自分のモンやんけw
これすげええ ネトウヨ「シナ人はITに疎いからいまだにQR使ってるよwwその点俺達のセブンさんは」
↑これ見てセブンイレブンのIT技術の凄さに感動してるけど、合ってるよね?(´・ω・`)
>>1
仕様書いた奴
ok出した奴
発注受けた奴
少なくともこの3人、どうかしてるだろ。
この3人が、セブンの仕事をやらなくなるまで、セブンのシステムは使いたくない。 >>2
これで責任も取らないんだろw
詐欺集団と繋がってるとしか思えん
被害者はさっさと告発せえや >>5
エンジニアは楽な仕事でガバガバのシステム買ってもらえて
ウハウハやろ >>377
iOSだと誕生日入力しなくても登録できて
その場合デフォで2019/01/01になるのでパスワードさえわかれば乗っ取れるとか
仕様書に
SMS認証と二重認証はない
他のメールアドレスにパスワードリセットを送るのはあるのは間違いない
他のメールアドレスに送るにしても,元のアドレスにお知らせメール送るのが当たり前だと思うが
それもない
あったら,乗っ取られた時点で気づくだろうから
割とやべーのはこれだな
・他人のメールアドレスで勝手に登録して嫌がらせができる
@CANDY__SPECIAL
15時間15時間前
その他
今回わたしは他の被害者さんと全く質の違う被害なんだけど何が違うかというと、わたしはセブンアプリもセブンペイも登録してないんだよね
勝手に他人がわたしのアドレスで登録したの
で勝手にわたしのアドレスで登録したアカウントで勝手にチャージまでしたの!
その後電話口で口頭でメアド伝えたら即停止した模様(これもガバガバ)
・嫌いな相手のメールアドレスがわかれば被害者を装い7PAYの利用停止ができる→チャージ全額ボッシュート
>>33
やべえ、コジキにクレジットカードとか最高の鴨やん 日本が脳死して30年
いよいよ実生活にも影響が出始めボロボロになる
これは巧妙な作戦だろうw
これでpayと名のつくものは国民は一切関心がなくなったw
ヤフー大打撃w
>>457
他アドに送るならせめて本アド入力必須くらいは…やってないんだろうな >>39
つううか、想像力のカケラも人生経験も薄っぺら過ぎんだろ
これじゃウチの高卒と変わらんくらいのポンコツやん TBSが始めて報道
なんと萩谷とかいうコメンテーターが
パスワード管理できない消費者への苦言に転化
>>43
こんだけ失敗してもコンビニオーナー締め付ければ
また事業立ち上げれるもんなw >>465
そのPWが捨てアドでリセットできちまう
っていう話を理解してないか
あえてスポンサーを擁護したか >>471
本アドさえわかれば,セキュが突破できるという
すごい仕様よな 日本での出来事だからなw
先進国のやることじゃねえw
アカウント乗っ取られたからって実害なさそうなどうでもいいサイトですらもうちょいマシなセキュリティやろw
ギャグか???
パスワードリセット機能は作ったことあるけど真っ先に考慮する部分だろ
どんな素人が作ったら自由なアドレスに送るとか思いつくんだよ
これなんで経産省や総務省が放置してんの?
即時業務停止命令出せや
なんと別のメールアドレスにパスワードリセットメールを送信できる
炎上狙いか?
株価は下がってないよねw
プログラマー「(フォーム消しておけばsendできないやろ!)」
結局、チャージ式じゃなくてカードからの引落し式を
堂々とできてるのって楽天ペイだけというねw
他はまだ怖くてなのか?認可的な問題なのか上限ありのチャージ式から抜け出せない
導入する店の方も楽天ペイ入れたほうが有利だろうな、特に家電量販店とかだと
やけにチャージ式QR決済サービスがコンビニばかりに入れ込んでる理由がやっとわかったわ
7の場合
メアド変わっていて,PW忘れた場合どうしよう?
電話で個人情報言ってもらって,圧着はがきおくるとかしかないよね.
だけど,個人情報入力するなら,直接入力して別アドレスに送れるようにすればいいんじゃね?
なるほど!
(だが,個人情報の入力は必須ではない w)
といった感じか?
SMS認証使ってるところなら
SMS送ればいいんじゃね.糸冬 了_φ(゚∀゚ )
権限がある人たちにプログラムの知識が無いっぽいなあ
誰にでも間違いはあるんだから責めるのは止めよう!セブンイレブン王者のコンビニ今日もお世話になるんだから
>>1
24時間営業強要問題の時にセブンイレブンを使わなくなったもれは正解だったなw 新卒に習作で作らせたシステムかよ!
hiddenにすりゃ見えないからセーフ!
なわけあるか。
>>494
それって,消すとその後が動かんからという理由で隠したんだろうが,
消してその後の動作を修正しても大した手間にはならない気がする. これは酷いって、裏方nanacoと同じJCBじゃないの?
あっちはちょっとしたことでいちいち郵送手続きさせるのに
個人間でPayしたいとき何使えばいいの
銀行振込で少額送金やってらんないからさ
>>502
Tフロント・・
間違えた
完全にフロントドアだ! 二段階云々w
こいつはこの手の会見でハイじゃなくウンとか言うクズ中のクズやん
こいつホントに役職あんのかよ
セブンだってシステム部門あるんだろうけど、大企業にありがちな名ばかりシステム部門なんだろ
毎日の受注発注のシステムだけ回してシステム部門って言い張ってるような
ベンダー側がこの仕様に意見言うと「じゃあお前いらない」って感じだろうな
こんなの開発側だけの問題じゃありえんよ
25年くらい前の素人がメモ帳で作ってるホームページか?
会見 社長の のんびり感がムカつく
そしてシステムはすぐ止めない発言
なんだかなぁ
システム担当が泥棒出来るようにわざと穴開けてたってパターン?
>>510
これは,穴じゃなくて仕様だから
仕様書通り >>225
自社で独自開発って言ってなかったっけ? >>115
ヂフォルトで7/11だったらもっと笑えたのに 判断力抜群の社長だろう
情報セキュリティ担当大臣と同じで
>>509
そら社長とこ経営陣はセブンイレブンみたいな糞は利用しないし 誕生日と電話番号なんてちょっと身近な奴なら結構知ってる奴多いだろ
>>486
楽天なんかより先にOrigamiがやってんだろ ガバガバってレベルじゃねーだろこれ
第三者が抜くための仕様にわざわざしたとしか思えない
>>502
バックドアと言うより、壁の穴に障子の紙貼った感じ >>518
Origamiってのあんま知らんかったわ、そうなんだね勉強になったわ (´・д・`)ポンコツ謝罪会見
・社長SMS認証をツイッターだと勘違いする
・全面停止にはしない(チャージ、新規登録停止のみ)
・まだ原因分からんな
・セキュリティチェックの段階では問題無かったよ
・社長「2段階認証???????」
大企業ですらここまでガバガバなら
今度の消費増税のポイント還元って絶対ザルなことにしかならんだろ
IT音痴の女性客に合わせて、ガバガバセキュリティにしたのか?
転送先のメアドもばれるし、
IPも曝してるし
実際にコンビニで顔曝しちゃってるし
犯人はアホだろw
セブンもとんでもないけど
始まったばかりのサービスにホイホイ登録する人らも危機感ないと思うわ
元々やる気なさそうだったけど
これはあほ過ぎるな。
>>524
セキュリティチェックで何したかわからんが
仕様書がたたき台レベルで専門知識のある奴がチェックしてないんだな
この仕様書が会議に出てくれば
クレカを使う場合の本人確認の問題と乗っ取りの危険性はすぐ指摘されると思うんだが 7pay きえた とばずにきえた
うまれてすぐに こわれてきえた
アルゴリズム的にシビアなところとか、外国の一流企業のサイトならインド工科大学
(理三レベルのIQ)みたいな奴らが、実装してたりすることがあるんだろうけど、
日本の場合日東駒専レベルの奴らが、グチャグチャなフローチャートをドヤ顔
で説明してて、エンドユーザーも何か言わなくちゃいけないから、
「こういう場合はどうなんの?」とか言ったら、「ほんまや!」とか言って、
次回の打ち合わせでは、フローチャートの量が三倍になってる。
誰も英語を読める人がいないので、元になってる規格と照らし合わせるなんて作業は、
一切行われてない。
これ、日本の一部上場企業同士の普通の光景。
技術者側が契約書で防御してることを願う
納品後は関知しないとしておかないと
信用失ったのはデカイぞ
でも、おにぎりはいただきます
関係ないけど、ユーチューブのオムニ7のcmスキップできなくて嫌いなんだが。
ここまで体を張ってネタを提供する企業ってのも凄いな
次はどんなのが出てくるか今からワクワクが止まらん
>>536
このプログラム作った奴らが不正利用してる可能性もあるんじゃないの
行動が早すぎるよ 頑張って三行化
被害者が7payアプリで7idを簡易作成(スキップで生年月日が2019/1/1で大半コレの可能性)
第三者が業者リストから電話番号・メルアド、加えて上記デフォ生年月日(もしくはリストの同データ)入力してパスリセ操作
変更案内メールを捨てアドで受け取って乗っ取り成功
闇が深いのは、客のメルアドと電話番号入れたら7pay新規の大半は特定の生年月日ぽくて簡単にアカウント乗っ取られるって事
確認できているだけで5500万だから
億超える可能性もあるからリターンは大きい
わざと穴作って抜いた可能性は否定できんな
「生年月日」と「電話番号」はデタラメで登録しないと危険
よく分かった
本人認証サービスでどうしても蹴られるけら諦めた
正解だった
コンソールで弄って何らかのリクエストが通る時点で不合格、不採用
POSTメッセージにHTML内の値使ってるのって
APIでHideの値書き換えてSubmitすりゃあ好きな値でラッシュ掛けられるんだよね
検索結果のデータ収集とかExcelマクロで色々作ってる
Web系で値隠してるだけとか無意味
この仕様、おそらく7pay実装以前なら、業者リストでメアド・番号・生年月日さえ掴めば
クレカでnanacoチャージしてる人のアカウント乗っ取って他人のクレカでnanacoチャージ出来たのでは
7payでアカウントが増えたのと生年月日管理がザルだったから顕在化しただけでさ
レベルが低すぎる。多分重役連通が無知すぎるのでは無いか?。
>>542
簡易作成ってのでクレカの登録まで出来たの? ガバガバ過ぎてワラうわwいまどきこんなシステムテスト段階で悪用されるのわかるだろw
結局こんなに穴だらけのシステムをテスト段階で気づけなかったのがヤバすぎるし
そもそも設計段階で誰も何もおもわんかったのかな?
>>544
デタラメでも総当たりできれば無意味
PayPayの再来 このシステムを開発した人はどんな属性か知らんけど
本来バカなホワイトカラーが全く分からないITを
IT土方に外注とかしてる業界全体の体質がこういうのに繋がると思う
>>553
怖くて作ってないからワカランけど出来ると思う
仮の気分でアカウント作って、7payの動作がてらクレカで入れちゃった人とかヤベーんじゃないかな >>379
実はツイッターをショートメッセージで利用してたツワモノだったり…するわけないなw >>1
>必要な情報は「生年月日」「電話番号」「メールアドレス」の3つだけ。
>その上で別のメールアドレスを設定します。
さすがに被害者900人もいると犯人知り合い説は無いな。
900人ものデータを集めることが出来るなんて
7payの関係者以外に無い訳で。 セブンイレブンなんて巨大企業でこのザマって
ジャップランドはどれだけバカなんだって世界中から見られてるよ
どうすんだろうこれ
>>551
え?
nanaco普通にカードに書かれた番号でログインしてクレジットチャージしてるけどあかんの? ペイ系はいらん
もうsuikaみたいなカードに統一しろよ
今考えると、初日からサーバダウンもなく、セキュリティーホールもなかった楽天ペイは
実はとんでもなく優秀だったわけだな
それにしてもペイの社長なのにSMSによる二重認証も知らないなんてヤバイな
登録しなくてよかったぜ
>>465
テレビに出て来るコメンテーターなんて何も分かってないから。 監視カメラに証拠残るんでしょ?
穴なんか1つもないねw
>>570
新しいものはしばらくして穴が塞がってからやるに限る
どんな新商品や新システムにも隠れた瑕疵やバグがあるからね
半年もたてばだいたい出来ってちゃんと使えるようになる パスワードリセット時に別アドレスに送れるってマジ?
セブンの素人担当者が、俺あったまいーって指示したのか?
ブラックすぎてIT技術者も雇えないんだろうなwww
よくわからんが中身はどこも同じ業者が作ってるんだろ?
セブンに限らず「なんとかペイ」って付いてるのは当分使わないほうが良さそうだね
>>5
そら社長がIT疎いバカならガバガバにしとくもんやで これ、仕込みちゃうの?
パチスロ4号機あたりまでによおあった手口だろ?
穴を【知ってた】奴は抜き放題だろ?
>>575
別アドに送れれば携帯をなくしたり
メールアドレスを忘れてしまっても大丈夫です!
おお!さすが!
とか力説して社長が拍手してたんだろう 今回の件で一番怖いのは、リスク(個人情報、金融・資産情報、交遊情報等)がスマホに集中させている奴が多いということ。
1つのアプリの脆弱性により、それらすべてが外部に漏れてしまう可能性があるということ。
アプリとしてはチェックを通っているんだけど信用ありそうな会社のアプリがこんなでは、アプリを始め何でもかんでもスマホに入れられない。
>>580
素人こえー
外注先は逆らえなかったんだな、、 >>576
相当安い技術者使ってるんだろうなとは思うよな >>436
ネット上だとたまにいるけどなw
最近はこういう認証でSMSを使う機械も出てきたから減ったけど 5500万ぐらいなら普通かマシなぐらいだよ。
システムが正常化してもQR決済はそのぐらいの不正が
毎月あって当たり前。
このメールアドレスってまだ使えんの?
流石にサーバ側で止めてるんやろ?
こんなガバガバセキュリティなのに不正侵入されて金盗まれてもセブンは責任取らないんでしょ
すごいよね
正直最初から不正目当てでやってんじゃないのこういうサービスって
責任は確実にとる
CMより効果でかいお金の使い方だからw
>>591
一応ネットの中の人たちだからね
新しいサービス始める時は買収からだしww 何これ、遊んでいるの?
お金の扱いが軽すぎて草生える。
わかった!
これ大学生の授業で行う習作プログラム実験だろ!
テスターはセブン顧客
よく叩かれる楽天だが銀行とか証券とかカードとかは他社よりセキュリティー設定の自由度も決められて凄いと思ったわ
店舗システムは良くないが金融系は凄いよ
カードは普通に使うとメールが即飛んでくる
銀行は登録プロバイダ認証やメアド等の認証が追加され簡単には成りすまし不可能
最初はここまでと思ってなかった
下請けの会社名も出せよ
もの作れないのにIT企業ぶってる会社多いんだよ
かわいそうに7月間に合わすために必死だったシステム担当さん3日でクビ
>>1
ひでえ。
こんな実装する馬鹿があるかよ... とうとう世のSIerの闇が暴かれて来たな。
イントラ内だけで使う業務アプリなら10年前のソースコードを「既存の資産」とか言ってコピペしててもなんとかなっただろうが、ちょっと新しい事やろうとするとボロが出る。
大手はこれからもやらかし続けるだろうな。
ファミペイと同日だから引っ込みがつかないんだろうね
>>606
寧ろ既存コードが使えない(使わない)ような仕様 >>1
セブンのSEって池沼しかいないの?
wwww(´・・ω` つ ) ナナコに、オートチャージできるのに同じレベルを用意しないとか
しばらく頭が働かず理解できなかったが、
とんでもない大穴だなwwwwマジかよwww
今すぐ全サービス停止しないとやばいレベル
これも問題だけど、クレカのS枠からチャージ出来ることも対策したほうがいいね。Amazonカードとかを買って換金できてしまうので、実質C枠限度額があがる。
payなんてやめて、nanacoもsuicaと統合した方がいいよ。
>>602
確かに、楽天銀行のシステムは無料なのに、超高機能だよな。
以前、某地銀の有料オンラインバンクを使ってたけど、何一つ無料の楽天銀行に優れてるところがなかった。
振り込みがあったら、メールぐらい欲しいのに、そんなの夢のまた夢。
絶望的に低い技術力には唖然とさせられた。 システム組んだ会社のガイジ共一人残らず殺処分にしろよ
最近よく聞くからウチも作っとくかってな感じだったのかな
>>606
SierのSEって、
『顧客の業務内容を仕様に落とし込むことのみが価値があることだ。
プログラムなんて専門卒でもできることができてどうすんの?』
って、ふんぞり返ってたけど、何のことはない。何の知識もないだけの話。
『顧客の業務内容を仕様に落とし込む』なんて、
コンピュータの素養が全くない素人だって、歯を食いしばってやれば、すぐできるようになる。
一部上場のSierに勤務してる、MARCH程度卒のSEでも、大学の専門は文系学部なので
何でプログラムが動くのか全然知らない人とか普通にいるよね。 ガバガバすぎるじゃん
ペイと名のつくやつはろくなのがないな
こんなゴミ導入するために、ナナコにポイント半減とかやってられんよな
>>425
別に経営者が1人で全て分かる必要は無いが、分かる奴に信頼して任せる度量が必要
ワンマン経営だとこうなる 元々7idとかいう誰も使ってない会員システムがあって、それがザルだった
そして今回そのザルにチャージ機能やクレカを紐付けるという愚行により
結果、みんなのお財布が出来てしまったということらしい
>>109
iphoneだと、生年月日が必須じゃなくて入力してなければ2019/1/1で登録されている事になるからメアドだけわかれば、パスワードの再設定メールを送れたらしい。 7idを作ったところと、7idにpay機能を追加したところは別なのかな?
どこが責任取るんだろうねえこれ
これ7payよりもomni7の方がやばそうだけどな
今問い合わせ中だけど、お客様サポートセンター緊急ダイヤルもクソだなw
全然内容把握できてないじゃん
ブルートフォースアタックでやってんの?
アカウントロックはかからないの?
どこのベンダーが作ったのか教えてほしい。流石にザルすぎる。まさかフリーランスとかに作らせて無いよな?
7pay経由でnanaco番号が流出すると残高取られるよね?
オムニ7でAndroidのおサイフケータイで決済できるはずなんだけど...
お客様サポートセンター緊急ダイヤルに電話してもわからないと言われたわ
残高5万入れてるから不安
誰か詳しい人教えて
ネットで買い物とかメルマガとかなんかすると
もれなくメアド、生年月日は入れるからな
電話番号も入れることも多々あるしな
絶望的なほどの技術レベルだやな。
7payがだめなのは当然としても、「セブン銀行」は大丈夫なのか?
バカ社員A「携帯機種変更したらメアドかわりますよね。どうする?」
バカ社員B「そうだ。違うアドレスにおくれるようにしとこうぜ」
AB「イーねっ!」
>>647
バカが企画して、バカが作って、バカが確認したんでは
トリプルでサービス開始と同時に狙われるという間抜けさ >>640
なんかの名簿使ったんじゃないかね
流石にブルートフォースは効率悪いんじゃ ここの社長、記者会見での質問で、2段階認証⁇みたいになこと言ってたけど、ことの重要性を理解できてないんだろうな。
nanacoっていうセキュアな電子マネーを持ってるんだから
QR決済はあくまでもnanacoの補完として扱えば良かったのに
nanacoを放り出してメインストリームに据えようとしたんだよね恐らく
>>656
バカに一から作った方が早いですよーって言われて鵜呑みにしちゃったんかな >>583
それは考えだしたらきりないやろw
こんな7payほどのガバガバはなかなかないわけだし >>656
ずいぶん前からedy使ってるけど問題は起きなかったよ。
実際FeliCaは優秀だと思う。
QRは何であそこまでだめなんだろう。 >>512
委託してこれだったら損害賠償ヤバイなぁ ペイペイやらLINEペイの勢い見ておっとり刀で7ペイを繰り出してきたんだろうけど、完全に悪手だったね。
既存のnanacoでキャンペーンでもやって、盛り返すべきだった。先進的なフェリカの優位性を見せつければよかったのに、
パスワードリセットの仕様を書いた奴、今頃どうなってんのかなっと
え、おまえら 他人に自分の住所とかメアドとか電話番号教えてんの?
メアドと電話番号、誕生日って何かの会員登録で普通に要求される範囲だろ
バカ杉
フリーメールですらメルアド変更時には、元アドレスと新アドレス両方で認証してたってのに
どんなバカにやらせたら、こんなザルサイトが出来上がったんだ?
まずどこの会社の誰にシステム構築の委託したのか知りたいね
もしもだけど、
本当にスレタイの通りなんだたったら、
即刻全面停止したほうがいいとおもう。
小手先どうこうじゃムリと確信する。
どこに外注したのか公表しろよ
逮捕された中国人の黒幕と繋がってるぞ
逮捕者も被害者も通報者もみんな中国人やろw
日本はお財布
これが日本のトップクラスの小売り企業の有様だからなあ。
暗い気持ちにしかならない。
ドコモの一部機種ではパソコンから送られるメールはことごとく弾くクソ仕様があるから、100回パスワード問い合わせても届かない。
ドメイン指定許可設定なんてスイスイできるシニアユーザーは2割もいないぞ。
>>379
文字に起こせばそりゃ分かるだろうけど、謝罪会見の緊張の中、SMSと言われてSNSと聞き取るのは仕方ない気もするけど、滅茶苦茶叩かれてるな。 コンビニ客の知能を考えた結果ガバガバ仕様になったのだろう。
全部お客様のことを思ってのことだったんだよ!
>>678
よこだけど、QR決済の場合、決定的だからじゃね?
通知にSMS使うんじゃねえの? 驚くほど、間抜けだよなあ。
あほすぎて信用ゼロだよ、いや、マイナス。
7ペイは終わったも同然だろう。
>>678
文脈読めないバカが社長ってのも大概だと思うぞw >>686
SNSとSMSの聞き違いと認識できてない時点で、片方しか知らないと言ってるようなもんだしね
そもそも2段階認証の話なんだから聴こえ方がどうであれ、後者だと理解してないのがやばい
登録する時にメール送って云々〜、と記者が説明してるのに、うちは登録IDとアプリなので同じ土俵で語れるのか…とか意味不明すぎる言い訳だったし
技術的な話じゃないからね、ごく一般的なアプリとの連携なんだから >>684
SNS連携ってあるじゃん。会員登録しなくてもTwitterやFacebookのアカウントと紐付けるだけで利用できるやつ。
或いはメールアドレスだけで会員登録した上で、個人認証として電話番号認証またはSNS連携が必要なんてのもあるわけで、
大笑いするほどのことなのか疑問だしそもそもデマなのかよ。 >>644
フリーランスは戦力
仕様がザルだっただけ TBSはIDとパスがセットで流出していたと説明しているけど、違うんだな
>>684
同等のアプリ(具体的に言えば銀行アプリ)を使ったことがあるかないかだろうね
たぶんこの社長は10年以上昔に生きてるんだと思う 2段階認証という言葉を聞いたことすらなさそうだったからな。あの社長は普段何をしてるんだろう。
20年前くらいからタイムスリップしてきた人みたいだった。
現場からは指摘する声があったはずだがあれで押しきっちゃったんじゃないの
昔のネットショッピングの時も適当な事ばかり言ってた印象
本当に何も学んでない
知ったかでわーわースレに参加してんだけど
実はナナコですら使った事ないんだな、コレがw
現金最強!原始人に死角は無い!
ナナコは現金でもポイントカードとして使えるのかと誤解して作ってしまったが
チャージとか二度手間なだけなので使ってないわ
考えてみたらまずフォームから修正して
消したあとに機能を削らないと順序が逆だとユーザが困るな
>>697
>「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。
絶対嘘だな
この時漏れたからやすやすとID乗っ取られたんだろう
警察案件じゃん >>687
SNS連携と、入力者と本人の照合は全く違うよね
電話番号やメルアドを入力させて送信する事で、本来の持ち主であるかどうかを確かめるのは先端技術でも何でもない
そもそも自社サービスなのに、類似案件も知らないって事だからね
ツイッター云々の発言がデマなのは知ってるけど、会見で記者が2段階認証の説明した時に「2段階…にんしょう???…ですか」と答えてたよ
その時に同じ土俵がどうたらと言ってた
会見動画がリアタイで捏造されてたんなら見間違いだろうけどさ >>700
ID=メルアドだから、わざわざ侵入せんでも手元にリストがあるんだろう
クレカと紐付いたものが 独自のリダイレクト
とかいってJavaScriptで別ページロードさせるぐらいしかできない会社だよ
サーバー側の処理を1日で修正できるわけない
こんなガバガバだとセブンは不正利用をカード会社に支払って貰えず、セブン本体が補償する羽目になるのでは?
>>709
カード会社が補償するのは使った人に対してだよ
その請求をなかったことにするだけ
店は一方的に損するしくみ >>95
知り合いならいくらでも知ってる奴いるな
ちょっとした労力を厭わなければ他人でも知り得る >>710
カード所有者かショップのどちらかが損するんだよね
不正利用者からお金が戻ってくることはほぼ無いだろうし >>713
こういう重過失がある場合は話が別じゃないの? 後に、コレがセブン帝国の崩壊を決定的な物にしたって分析されそうな位にお粗末な話
>>712
もう使う人はいないだろうな。撤退しかないよ。 PayPayと違ってアカウント乗っ取りだから厳しいね
これから新規登録するはもういないだろう
>>717
システム会社はセブンアイの決めた仕様のシステム作っているだけだから
全面的にセブンアイの責任だよw SNSやGoogleなどのアカウント認証の利用もできるんだから
穴のある自前のアカウント認証使わなければよかったんだよ
スマホ持ってるや奴でGoogle、Yahoo、Twitter、LINE、Facebookどのアカウントもありませんなんて奴はいない
これ、セキュリティの試験はどうやって通過したw
そこはアプリ制作会社でチェックするだろ、
おにぎりと個人が持ってるすべてのパスワードの交換かw
>>722
俺はiPhone、iPadのヘビーユーザーで、公私にパソコン、ネットは毎日たくさん使ってるが、その中のどのアカウントも持ってないぞ。
そもそもLINEだのFBだのにアカウント作るような日本人は自分の情報保護に対してかなり無頓着で、7payの社長を笑うのは変。 >>95
>他人のアカウントのメアドと生年月日と電話番号知らないと盗めないんだが
普段使いのメアドをIDとして登録した場合には、メアドと電話番号の両方を知っている人間は通常はかなりたくさん存在する。
生年月日などは、だいたいの年齢がわかれば多数回の試行でヒットする。(例えば学校卒業年が推定できれば、365回以内の試行でヒットする。)
※そもそもメアドと生年月日と電話番号なんて、これまであちこちで書いたり入力したりしているもので、そんな情報は当然ヤミで名簿屋に流れていると考えるべきだが。 生年月日と電話番号にデフォルト値が存在しているのが最悪。
>>25,52
他スレにあった話だと元々7アプリはクーポン用だったので
こんなザルシステムでも特に問題なかったらしい
クーポンなんて誰も狙わないからね
そこに7Pay(クレジットカード)を付け加えたけどザルシステム
そのままなんで一気に狙われたと言うことらしい
悪いやつらは常にいろんなことを考えているんだね〜 >>729
ほんにそう
これで二段階にしたって、その状態のままじゃ同じことだわな セブンイレブンは赤字決算になって
店舗縮小したほうがいい
だから、セブンイレブンには行かない、買わない
セブンのオーナーになろうと思っている人は考え直せ
特に沖縄
なんとかpayに、次々と参入してるのはなんでですか?
企業だから最終的には利益目的だろうとは思うけど、
賢い人教えてください
>>734
寝てるだけで巨額の手数料収入が入ってくるからね ここに入ってる技術者のレベルがレベルだからな(呆)
プログラミングスクールでプログラミングを学んだ程度の人だけで頑張ってる感じ
だからアレですわ
>>733
沖縄での提携先はかねひでか。
まあ、がんばれw 店舗経営者には上から目線で厳しいノルマなどを課せるくせに、自分らの仕事のクオリティは三流以下のゴミw
>>734
Payってのはチャージがつきものだろ
銀行だと利息がつくけど、チャージは逆にPay会社が預かったチャージ金で他に投資したり預けたりして利息を稼げるんだよ
消費税も一時的に企業が預かるから同じく国に支払うまでの期間に利息を稼げて儲かるしくみ >>740
瑞穂案件が終わった業務委託のコボラー沢山入れてる時点で察してほしいよ これWebサービス関係やっている奴でこの穴が分からなかったら仕事を変えたほうがいいと言われるレベルだよな
セブン&アイという会社としても、チンピラのような社風を考えても、セブン&アイを構成する多くの企業が元はSAISON系だった事を考えても、慶應閥のハンズラボに対抗して似非ウェブ企業を立ち上げて盛大に火を吹かせた前科を考えても(セブン&アイは早稲田閥です)
何処ぞのメガバンクのような構図で笑えない
