![見出し画像](https://assets.st-note.com/production/uploads/images/12791099/rectangle_large_type_2_89e7183cd60fae45c6fa1faa19fe2b77.jpeg?width=1200)
Photo by
naseem_ou812
7Pay不正アクセスの問題点まとめ
アプリのセキュリティがザル
1. 電話番号、メールアドレス、生年月日が判明すればパスワードのリセットが可能
2. 別のメールアドレスにパスワードリセットのメールを送信することができる危険な仕様
3. アプリの場合は生年月日を設定しないこともでき、その場合はデフォルト値が使われる
4. 試行回数の制限がない(総当たりでいける)
ただでさえ総当たりでできるかつ、生年月日がデフォルト値の可能性も高いため突破は簡単。
ちなみに7ID (オムニ7)からの問題である。なので実はもっと昔からの仕様である。なのでペイリリース後に不正使用する価値ができたということ。
金融だけでなく、WEBアプリとしての基準も満たしていません。
記者会見で分かったトップのIT知識の無さ
・社長が二段階認証の意味が分かっていなかった
・インシデント対応計画がない
・サービスを停止しなかった
サービスの急造による問題、日本のSI業界・構造の問題点も浮き彫りになってきそう。
7Payだけに限った話ではなく、IT知識の低い企業は多いため、明日は我が身と思ってた方が良いでしょう。ユーザーであってもIT知識を持った方が被害者になりにくいです。
参考
サポートすればするほど良い記事書きます!!