不正アクセスで被害甚大だった7Payですが、今度は不正利用対策で全員のパスワードを強制リセットし、ついでに残高もリセットして炎上しました。

 

そんな、7Payのパスワードリセットからの残高もリセット炎上の経緯とは?

 

ということで今回は、7Payのバグについて、

  • 7Payのパスワードリセットからの残高リセット炎上の経緯
  • 7Payの不正アクセスとは?原因は?

気になりましたので、調べて紹介したいと思います。


スポンサーリンク

7pay残高リセット強制で炎上!不正アクセス原因まとめ!被害反応は?

7pay残高リセット強制で炎上の経緯!

7Payが1650万人全員のパスワードを強制リセット!

7Payは不正アクセス対策として、利用者に有無を言わさずに会員1650万人全員のパスワードを強制リセットする強行を働いて不安にさせていました。

セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。

引用:セブン、全会員のパスワードを強制リセット 1650万人

 

しかし、利用者には通知もせずに有無を言わさせない、強制パスワードリセットで批判されました。

7Payパスワード強制リセットで残高もリセットでバグ?

7Payは通知もせずにパスワード強制リセットを行い、再設定するとクーポンや7Payの残高が消えるバグを起こして炎上しました。

 

実際に以下のようにツイッターにて、クーポンや7Payの残高が消えた被害の声が届いています。

 

ただ、表示されていないが、データは残っている説が出ており、どうなっているのかセブンイレブンの説明が待たれています。

 

ついでにですが、パスワードリセットして永遠にログインできない被害も出ています。

7Payの不正アクセスとは?原因まとめ!

7Payは開始早々にセキュリティの脆弱性による不正アクセスが多発し、約900名の約5,500万円の被害があったとのことです。

1、発生の経緯

2019年7月2日
・お客様より「身に覚えのない取引があったようだ」とのお問い合わせをいただく。(第一報)

2019年7月3日
・社内調査を実施した結果、不正利用が発覚。
・お客様サポートセンター緊急ダイヤルを設置。
・7payホームページの「重要なお知らせ」にID・パスワード管理の注意喚起を掲載。
・クレジットカードおよびデビットカードによるチャージを停止。

2、不正アクセスが疑われる人数・金額(試算)
約900名/約5,500万円 ※2019年7月4日 6:00現在

引用:一部アカウントへの不正アクセス発生による チャージ機能の一時停止について

 

実際に以下のように、7Payで不正アクセスによる被害が多発し、炎上しまくりました。

7Pay不正アクセス原因は?

セキュリティガバガバ

まず7Payは生年月日、性別なしで登録でき、登録なしだと初期設定され、その初期設定で総当たりするとパスワードを任意のアドレスに送信できるガバガバセキュリティが見つかりました。

パスワードなしでアクセス可能

7Payはパスワードなしでアクセス可能なため、不正アクセスし放題でした。

日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。

この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるという内容だ。同認証システムは7payを含めて同社の複数のアプリが使っている。

「OpenID Connect」などの認証連携プロトコルは、なりすましを防ぐためのチェック手順を定めている。7iDの認証システムには、このチェック手順が実装されていなかったとみられる。

これとは別に、7iDにログイン後、API(アプリケーション・プログラミング・インターフェース)を通じて認証システムから取得できるユーザーデータの設計にも問題があった。あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できたという。「顧客データベースにフリーでアクセスできる状況に近かった」と取材に応じた事情に詳しい技術者は話す。

認証連携の脆弱性を悪用して他人のIDでアプリにログインするか、あるいはAPI経由で取得した他人のハッシュ化済みパスワードから平文のパスワードを復元し、他人のIDとパスワードを入力してログインできた可能性がある。

引用:[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明

 

なんでも、外部ID連携機能を使っている人のIDに、他人がパスワードなしにログインしてなりすませるようです。

 

しかも、あるアプリで認証に成功した場合、他のアプリを含めた広範な個人データを取得でき、さらにハッシュ化されたパスワードまで取得できるという、個人情報ダダ漏れにさせているのでした。

スポンサーリンク

「秘密の質問」で忘れて問い合わせば不正アクセスし放題?

今度は「秘密の質問」の答えを忘れたとチャットサポートに問い合わせると、クレカチャージパスワードをリセット・再設定し、不正アクセスし放題なことが判明しました。

 

そして実際にこの不正方法で被害に遭われた方がいたようです。

7pay残高リセット強制で炎上!不正アクセス原因だらけで被害多し!

不正アクセス原因だらけで被害が多発した7Payですが、今度は通知もせずに強パスワード制リセットし、残高もリセットさせるバグで炎上したようです。

 

データは残っているという報告もありますが、実際のところ本当なのか被害者は不安でしょうね…

 

果たしてまたやらかした7Payはどう説明責任を取るのか、またいつになったらまともに使えるのか今後も注目です。

 

せばな~