7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)

キャッシュレス
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、依頼された記事などは別途記載を実施しています。

追記:酷い記者会見と無意味な対策

今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。

  • 二段階認証をまともに理解していない?
  • チャージと登録を停止するが、決済は停止しない
  • 補償はするとは言ったが、方法などはまだ未確定

もうさっさとサービス終了したほうが今後のためじゃないですかね。

パスワード再発行の件は対策した(風にみせかけ)

何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。

なので、下記の会員IDの変更などは早急に行ってください。

また、7pay使ってなくてもセブン&アイ関連で7ID使用している人は全員今回の問題の対象となっているので、いま一度確認を。

アカウント削除する人へ

もうこんなサービスのアカウントは削除したいって人も居ると思います。でもアカウント削除した場合、同じメールアドレスが登録できない仕様になっています。

同じメールアドレスが登録できないということはデータベースに保持しているということなので、別のメールアドレスに変更してからアカウント削除することをおススメします。(と言ってもデータベースから消えたという確証は得られませんけどね。)

1)クレジットカード情報の削除
2)メールアドレスを別の捨てアドなどに変更
3)アカウントの削除

上記に手順で行うことで、少しは情報を残さないでおくことができるかもしれません。

—以下元記事—

7payの不正利用の話が広まってますが、そもそも原因として出ていたのが7iDのパスワード再発行がセキュリティ的に最悪なこと。

そもそもパスワード変更なんてしても意味が無い状態になっているんです。

パスワードを忘れた場合 | omni7(7payなどで登録した人用)

生年月日とメールアドレスはわかります。で、最後の「送付先メールアドレス」

これ、要は登録していないアドレスにもパスワード再発行アドレスが送れてしまうということ。

自分は元々オムニ7から登録したので以下の再発行ページから試してみました。こっちは「会員ID」となってますが、要はメールアドレスです。

パスワードを忘れた場合 | omni7

結果として、登録してないアドレス宛にもパスワード再発行メールが届きました。下の「+hack」と付けているのがそれ。

これじゃ、どんだけ強固なパスワードを設定しても、メールアドレスと生年月日(もしくは+電話番号)がわかればアカウント乗っ取り放題ですね。さっさと何とかしてください。

iOS版アプリは生年月日が必須でない上に…

さらに信じられないことを知ったのですが、iOS版アプリは生年月日登録が必須でないようです。

その上、入れてない場合は2019年1月1日が生年月日として内部的に設定されるとのことで、最早メールアドレスだけわかれば他人がパスワード再発行出来てしまうことに。

会員ID(メールアドレス)の変更を

パスワードに関しては再発行されたら意味が無いので、早急に会員IDを変更することをおススメします。

誰にも教えていないメールアドレスを作成するか、Gmailならエイリアス(「example@gmail.com」なら「example+xxx@gmail.com」でも同じメールボックスで受信可能)を設定などして対策を。

アカウント情報変更してもログアウトされないアプリ

アカウント情報変更して、ログイン情報を変えたにも関わらず、セブンイレブンアプリはログインしっぱなし。自動でログアウトされないみたいです。

もし既にパスワード再発行メールが届いてしまった人、もうアカウント消すしかどうしようもないかもしれません。

コメント

  1. ジュー より:

    甘ったるいリスク管理ですね。
    まあでも公表しただけマシ、とも言えたりするのかも・・・。
    憶測でしかありませんが、IDやPass等などは結構他所もやられているような気がします。
    どこかのネットでIDやPassを要求するサイトを運営する企業にアンケートと行ったところ、20%ちょいが平文での保管だそうですから(ホントは20%より平文保管もおおいかもしれませんが)。
    このような甘いリスクヘッジは日本だけではないとは思いますが、にしても日本はネットに限らずリスクヘッジはどんぶり勘定的な面が多々あるので、今後いろいろと個人認証が絡む事柄が増えていくと利便性は増すでしょうけれどその何倍かのリスク懸念も増していくのかな、などと思ったりしました。

    • おっさん より:

      記事内容を良く見よう。
      「漏れた」じゃないんだ。
      「何でもOK」なんだ。

  2. たかやま より:

    現在は、送付先メールアドレスの欄が、CSSでdisplay:noneにされてます(笑)

  3. ひま より:

    iOS版アプリの話は、新規登録の画面で、再発行ではないようだ。
    そのため途中で、素人すぎるのか話がわからなくなった。

  4. まひ より:

    オムニ7から送られてくるメール自体、暗号化されていないしDKIMもFAILですね

  5. 名無しさん より:

    ネットの眉唾情報で見事ヒット、自己解決する杜撰さもさることながら、問い合わせから半月以上経過して届いた、返答メールに驚愕。何の解決にもならないくそメールだった。怒りにまかせて呪詛のメールを送信するも、同内容のメールが返ってくるという徹底ぶりに、この会社、誠意ある対応しようなんてまったく考えていないのだと、ようやく己の馬鹿さ加減に気づいた次第。即刻解約した方がいいよ。でないと個人情報、ダダ漏れになるよ。