7payの不正アクセスで昨日問題となりましたが、その手口が次第にこれではないかと噂されております。通常パスワードを忘れてしまった場合、登録済みのメールアドレスにパスワード変更通知がされるわけですが、7payの場合そうではなく、別のメールアドレスに変更通知を出すことが出来るという凄いシステムがあるようです。
別のメールアドレスにパスワード変更通知
パスワードを忘れた場合、通常であれば指定のメールアドレスにパスワード変更を通知することができます。
しかし7payの場合、指定のメールアドレスにもできますが、なんと別のメールアドレスに通知を出すことも可能。
つまり登録アドレスさえ知っていれば、別のメールアドレスにパスワード変更通知を出すことが出来るという恐ろしい仕様。ただし生年月日等を入れる必要があるので、それらを知っているもの限定となります。
仮に、第三者が「メールアドレス」「生年月日」を何らかの理由で知っているとするのであれば、それは誰でもパスワードを変更できてログインできてしまうということになります。
さらに・・・
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019
一般的には、別のメールアドレスに通知を出すということは防犯上の都合で行われないわけですが、現在の仕様ではそれが可能となっております。
※試しに、自分の別のメールアドレスに変更通知を出してみたところまさに可能だった。
とんでもない不正利用が報告されている今回の事件
従って7payを使う場合は、他人にメールアドレス・生年月日を知られないように十分注意を行う必要がありそうで、運が悪ければほんとうの意味でキャッシュレス化してしまいそうです。
公式サイト
https://www.7pay.co.jp/
