7payがまた悪手、7iDのパスワードを強制全員リセットという強行策に
セブンイレブンが手掛けたスマホ決済サービス「7pay」が、7iDのパスワードについて強制全員リセットを行った。
本策は、「サービスをより安全にご利用いただくため、セキュリティ強化の一環として、本日7月30日(火)に7iDパスワードの一斉リセットを実施」というもの。また、再度のログイン時のパスワード設定条件を変更し、更なるセキュリティ体制の強化に取り組むとしている。
しかし、パスワード一斉リセットにより、残高やクーポン、チャージ履歴、バッジなどまでリセットされ、全て消去されてしまったという報告が相次いでいる。さらに、以前と全く同じパスワードで登録できるという仕様であり、再度リスト攻撃にあった場合、一度被害を受けたユーザーが再度不正アクセス被害に合う危険性もはらむ。
また、7iDは7payに紐付けられてはいるものの、7payを利用していないユーザーも多数存在し、全員リセットは7payのセキュリティのザルさのあおりを受けた格好となっている。
また、今回はFacebookやTwitter、LINEなどの外部サイトのIDでオムニ7・各社アプリを利用しているユーザーについても、7iDでのIDとパスワードの設定が必要となる。
サービスのスタート時点で、「本人確認が行われない7iDのの甘さ」や「リスト攻撃に対する脆弱性」、「2段階認証すら知らないとみえるトップ」など、システムが穴だらけだった7pay。
それによるアカウント乗っ取り被害で約3860万円もの被害が発生し、その対応も後手に回り、場当たり的な印象が否めない。今回のパスワード一斉リセットによる残高消失に対しては、「7payをアップデートしない」という対応がユーザーから提案されているが、それも解決策にはならず、一斉リセットによる問題に対しての早急な対処が求められている。
しかし、パスワード一斉リセットにより、残高やクーポン、チャージ履歴、バッジなどまでリセットされ、全て消去されてしまったという報告が相次いでいる。さらに、以前と全く同じパスワードで登録できるという仕様であり、再度リスト攻撃にあった場合、一度被害を受けたユーザーが再度不正アクセス被害に合う危険性もはらむ。
また、7iDは7payに紐付けられてはいるものの、7payを利用していないユーザーも多数存在し、全員リセットは7payのセキュリティのザルさのあおりを受けた格好となっている。
また、今回はFacebookやTwitter、LINEなどの外部サイトのIDでオムニ7・各社アプリを利用しているユーザーについても、7iDでのIDとパスワードの設定が必要となる。
サービスのスタート時点で、「本人確認が行われない7iDのの甘さ」や「リスト攻撃に対する脆弱性」、「2段階認証すら知らないとみえるトップ」など、システムが穴だらけだった7pay。
それによるアカウント乗っ取り被害で約3860万円もの被害が発生し、その対応も後手に回り、場当たり的な印象が否めない。今回のパスワード一斉リセットによる残高消失に対しては、「7payをアップデートしない」という対応がユーザーから提案されているが、それも解決策にはならず、一斉リセットによる問題に対しての早急な対処が求められている。