「7payのセキュリティの問題で、5500万円の不正利用があった」というニュースがありました。
7pay利用者以外にも危険があったことがわかった
私自身は7payを使っていないので、対岸の火事ぐらいの気持ちでいたのですが
セブン・イレブンのオムニ7に脆弱性。攻撃者のメールアドレスへ再設定用リンクを送付されるリスク有り
とう情報を見て「オムニ7………あっ!イトーヨーカドーのネットスーパーがオムニ7だった」ということに気づきました。現在は7idという名前なのですが、同じものです。
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況
こちらの記事にさらに詳しい内容が書いてありました。通常パスワードを忘れたときのメールは「登録済みのメールアドレス」のみに送られるため、そのメールを受信できる人にしか届きません。しかしそれ以外にオプションとして「送付先メールアドレス」というものがあるため、全く関係の無い第三者にログインパスワードを変更できるurlが送られてしまうのです。
そうなると、ログインして登録済みのメールアドレスを変更することも可能となるし、クレジットカードを登録済みであった場合は買い物もできてしまうということになります。
さらに、2019/07/04 17:22 時点で、該当のフォームから「送付先メールアドレス」は表示されないようになっていますが、デベロッパーツールで見ると
HTML上では「送付先メールアドレス」が残っていて、単にCSSの
display:none
で消していることがわかります。これでは、デベロッパーツールでチェックを外せば
入力欄が
表示されてしまいます。
入力して送信しないとわからないことですが、プログラムを変更していなければここに送信先メールアドレスを入力すれば、未だにそちらにパスワード変更用のurlが送られてしまう、ということにもなりかねません。
対策は退会することか登録済みのクレジットカードを削除すること
被害に遭ったとしてもセブンアンドアイが全額補償するだろうということはわかるのですが、その場合の手続きが面倒くさいだろうし、自宅の住所が入っている個人情報ページを見られるのはいやだと思いました。
ということで私は退会しました。
退会してから「クレジットカードの登録だけを削除すれば良かったのかな?」とも思ったのですが、会員管理画面からそれが行えるかどうかはやめてしまったのでわからないです。
とうことで緊急にですが、記事を書いてみました。