3日目にして不正利用されまくった「7pay」、omni7のパスワード再発行システムの脆弱性が原因と思われる状況に。

3日目にして不正利用されまくった「7pay」、omni7のパスワード再発行システムの脆弱性が原因と思われる状況に。

3日目にしてクレジットカードからの登録をとめた7payですが

7pay に関する重要なお知らせ(PDF)

不正利用のきっかけが2段階認証がないことだけではなく
パスワードの再発行が
生年月日+メールアドレスさえわかれば

メールアドレスの持ち主で有ることを証明(メールを受信)しなくても変更できるということが原因では?という流れに

7月1日から利用開始となった【7pay】、さっそく不正利用の餌食に。 

 

 

登録したメールアドレス

登録した誕生日

全く関係ない送信先メールアドレス

でパスワード再設定要求を行い

 

そのメールアドレスに送られてきたアドレスをひらくと

パスワード再設定

 

再設定するともとのログインしていた端末はログアウトされていました。