7Pay不正アクセスの問題点まとめ
アプリのセキュリティがザル
1. 電話番号、メールアドレス、生年月日が判明すればパスワードのリセットが可能
2. 別のメールアドレスにパスワードリセットのメールを送信することができる危険な仕様
3. アプリの場合は生年月日を設定しないこともでき、その場合はデフォルト値が使われる
4. 試行回数の制限がない(総当たりでいける)
ただでさえ総当たりでできるかつ、生年月日がデフォルト値の可能性も高いため突破は簡単。
ちなみに7ID (オムニ7)からの問題である。なので実はもっと昔からの仕様である。なのでペイリリース後に不正使用する価値ができたということ。
金融だけでなく、WEBアプリとしての基準も満たしていません。
記者会見で分かったトップのIT知識の無さ
・社長が二段階認証の意味が分かっていなかった
・インシデント対応計画がない
・サービスを停止しなかった
サービスの急造による問題、日本のSI業界・構造の問題点も浮き彫りになってきそう。
7Payだけに限った話ではなく、IT知識の低い企業は多いため、明日は我が身と思ってた方が良いでしょう。ユーザーであってもIT知識を持った方が被害者になりにくいです。
参考
サポートすればするほど良い記事書きます!!