ごきげんよう。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。
さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。
7/4 7時追記
高木浩光氏によれば、なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人は生年月日なしでパスリセットができるそうです。驚き。
今どきの認証システムで第三者が乗っ取り可能な点を放置しているのは致命的だ。実際に「900人に不正アクセス 被害5500万円」という数字も出て来ている。杜撰と言われても仕方が無いだろう。
7payの社長が二段階認証を知らないことが露呈
7payの件:『こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁ』とネットユーザの推測←記者会見で7payの社長が二段階認証を知らないことが露呈
トップがダメだと結局出来上がってくるシステムもダメになるという例になってしまった。誤解のないように指摘するなら、最初の段階で社長が二段階認証を知らなかったこと自体は問題ではない。知らなければ調べるなり、教えてもらうなり、使って覚えるなりすればいいだけの話だ。問題はシステム構築が終わった段階においてもなお、社長が二段階認証を知らないままだという点だ。社長のみならず、システム構築にかかわった上役は全員、怠慢や無能の誹りを受けて当然だろう。現場が二段階認証を提案しなかったとは思えないが、提案していないのなら現場も怠慢や無能の誹りを受けざるを得ないだろう。
リリースを早めるためにセキュリティなどの要件を犠牲にしたといったことはない
リリースを早めるためにセキュリティなどの要件を犠牲にしたといったことはない
もし、これを本気で言っていて本気でやっているとしたら、最初からセキュリティなどの要件をまともにやらなかったということになる。計画通りにセキュリティーがガバガバでしたという無能の自己紹介に他ならない。経営トップや現場トップから無能を取り除けなかった場合の惨劇として語り継いでもらいたい事例となった。
この記事へのコメント