現在までに発覚している被害額は5500万円

元スレ

116文キック(神奈川県) [US]2019/07/05(金) 10:01:59.51ID:LFMT0Vao0●?PLT(16001)
セブンイレブンが7月1日に開始したスマホ決済サービス『7pay（セブンペイ）』。そんな『7pay』の利用者が
不正利用されるという被害が続出している。現在までに発覚している被害額は5500万円。

利用者は不正に乗っ取り被害にあい、数万円、多い人だと20万円近くをチャージされたという。
新たなデバイスでログイン時にPINコード、もしくは二段階認証を要求しそのSMSかメールアドレスにワンタイムパスワードを発行するという流れ。
しかしそういったセキュリティを一切しておらず、IDとパスワードだけでログイン出来てしまうと言うザルさ。

更に今回の被害の拡大に繋がった原因として、パスワードの再設定として生年月日とメールアドレスだけで再設定可能。
しかもそれとは別に「送付先のメールアドレス」という項目もありこれを悪用されたと思われる。
では何故生年月日が分かったのか？　それは生年月日を入力しないとデフォルト値は2019年1月1日になるようだ（iOS版のみ）。
あとはその人のメールアドレスと送付先のメールアドレス（乗っ取り犯のメアド）を入力し完了。
途中に画像認証という物もあるが全く意味がない。むしろ無くてもいい。

このほかにもメールアドレスやSNSから生年月日を推測された人も多いだろう。よく「xxxx1225@〜」というアカウントにしている人を見かけるが
まさに誕生日だ。これだけだと何年生まれかわからないので、SNSを見て何年生まれか調べると言うわけだ。

致命的なのが任意のアドレスに送信出来たこと。こんなの乗っ取って下さいといわんばかりである。

■捨てアカ登録でおにぎり無限に貰える？
（つづく）
https://gogotsu.com/archives/52017
https://gogotsu.com/wp-content/uploads/2019/07/001-2.jpg
https://gogotsu.com/wp-content/uploads/2019/07/002-2.jpg