アカウント名:
パスワード:
記者会見のクライマックスシーン
https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]23分40秒記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」
https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]30分40秒記者「なぜ二段階認証をしなかったのか」社長「二段階認証?」「・・・セブンイレブンアプリの一機能が7Payなので二段階うんぬんはいらないと思った」
いや別に社長が二段階認証を知らなくてもいいと思うんだが、会見場に技術部門の責任者がいない、技術的な質問をそこに振れないという体制が「ダメだこりゃ」と思いました。
2段階認証なんて不便だって上が判断した可能性もありますね。スマホ決済なんて中国じゃ不正が横行してるのに、よく使えるなと思う
それこそ、7側はまともに仕様も決めず、仕様から開発まで中国丸投げしてたんじゃないですかね。で、情報部門やセキュリティ専門家もチェックせず(7内部に居ない)
なんで、中国でできる不正使用は7PAYでもできると。
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。
ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。
ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。そこはセキュリティオタクも認めないといけない点だと思う。
あ、やっと理解できた。こういうストーリーを想定してるのか。普段スマホを使っている人が、スマホを紛失なり買い替えなりで手元に無い状況に陥っていて、PCから7payアカウントを操作したい。パスワードはスマホに記憶させてい自分じゃ覚えていないから、ログインするにはパスワードを再設定しなきゃならない。登録しているメールアドレスはキャリアメールで、以前のスマホが無いからアクセスできない。でもPCからプロバイダのメールとかGmailとかならアクセスできるから、再設定メールが送れるとそっちで見れる。スマホは手元にないから、2段階認証(SMS)は当然できない。
店舗での初回利用時にレシートに20桁くらいのリカバリキーを印字して、「これを大切にもっていてください」って渡しておく。
レジ周辺にばらまかれている気が
感熱紙で数年後には読めなくなってたり…
PCと携帯電話向けに分けるまでもなく、IDとサブメアドあてにメアドやパスワード変更をする旨のメールが来るとアラート替わりになる。PCに2通届いてもいい。サブメアドを登録するかどうかは利用者の任意にさせて欲しい。
実際モバイルSuicaにもありますしね。PCでやるのかスマホやガラケーでやるのか聞いてきて送られてくるリンクもブラウザで開けるURLだったりアプリ起動用のローカルリンクだったりしました。
>そこはセキュリティオタクも認めないといけない点だと思う。何で?決済システムなんだから、今回の件では利便性を優先したら絶対ダメだろうに。
不正利用されて損害が生じるリスクというのは確かにある。しかし、逆にパスワードを忘れてしまって、チャージしたお金が失われる(使えない)リスクもあるんだよ。
https://snsdays.com/download-app/7pay-touroku-use/#7iD-2 [snsdays.com] 見れば分かるように、「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
キャリア変更でキャリアメールが使えなくなって、パスワードが忘れてしまった場合、自分でチャージした「お金」が使えなくなってしまう、これも問題だよね。
不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
> 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。
そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。そのコストを惜しんで脆弱な実装を採用したのが問題。
「報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。」と言うことだから、ここでの不正利用はユーザーが所持しているクレジットカードがユーザーの意図しないところで使われているってことで、ユーザーの損害に該当するものなのでは。
「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害
「不正利用の被害額」もフランチャイジー=加盟店が負う事になっているんじゃないの?
納得できる意見だな。この件では脆弱だから設計失敗だが、不正も移行ロスも無視できない。スマホで身分証の写真を撮る、一定期間後別アカウントに残高移転する形でその間元アカウントはキャンセルできるとか考えたけど微妙。この件だと元のメールアドレス/ログイン中のアプリに通知を送ってキャンセルできる(パスワード変更は一定期間後)とかが緩和策だろうけど問題は大きい。SMSまで届かなくなるケースは問い合わせて何とかするくらいしかないだろうな。
クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。
パスワード忘れ&メールアドレス使用不可なんてユーザーの自己責任だろ。なんでそんなユーザーのために空けた穴で無辜のユーザーが不正利用の憂き目に遭わなければいけないんだ。
誰も設計に問題があることを否定してないでしょ。みんな何故こんな設計になったのか、何を想定していたのかを考えてるだけだよ。
スマホでキャリアメール使ってる人おるんか。
🖐️「はい。周りは皆そうです。」#主に「LINE使えればガラケーでもいいのに」派と「皆iPhoneだから私も」派。
使ってるよ。理由があって使ってる人もいるわけで、「自分が不要」だから「他人も不要」と考える方がおかしい。
まだいる...はず
そういえば実際には紛失して取り出せない残高ってのはどういう扱いになるんだろう。企業にとっては債務?って事は実際には存在しない債務が見た目上は存在する事になるわけか。法人税節税とかに使えそうだな。失効とかするんかな?
まぁ単に使ってない人と区別できないしいろいろと扱いづらいしだろうからあんまり現実的ではないだろうけど。
言ってることは理解できる。そういうケースがあるだろうことは想像できる。
でもスマホ使うのになんでわざわざキャリアメール使うのかねぇ、とは思うかな。gmailもicloudも使えないスマホなんて現役機でないでしょ(暴言)
この仕様にしても、設計時にセキュリティーの専門家が加わっているとは思えない。
普通のセブンイレブンの新商品開発の感覚でプロジェクト回してたんじゃないの。コード決済は、「中国に周回遅れ」の時代から、今度は「とりあえずうちもやっとけの粗製乱造」の時代になってきたな。
今いくつくらいあるんかね。
QRコード決済のアタリショック事件になるかもね。
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。退化してるじゃん…。レジのスループットも悪化するし、多少客を囲い込めるとしても面倒で離れる人も出るし、良いこと無いだろ。
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
スマホ画面に広告が打てるからです。Suicaなんかのカードはかざすだけですが、QRコードはスマホを操作して画面に表示させることが必要です。そこに広告を打つんですよ。それも「平日昼間に丸の内で、土日と夜間は品川でコンビニを利用する30代男性」「平日は飯能のコンビニを利用するが月に一度は池袋で使う20代女性」といったように広告主に対してかなりピンポイントに広告枠を売れる媒体です。コンビニがこんな美味しいメディアを使わない手はないでしょう。まあユーザーにはメリットないけどね。
そういやセブンとかPOS画面の広告どうなってるんかね。
POSレジの客側ディスプレイに広告表示されても、支払い時には財布に集中しているし、通路を通りすがるときには注視しないし、そもそも意味ない代物かも。
nanacoを無節操にばらまきまくったら年齢も性別もわからんユーザーが大量に生まれてしまって情報として使い物にならなくなった、という噂がまことしやかに
> ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
NFC対応レジに買い替える余裕のない家族経営の小規模店舗でも、スマホがあれば対応できるからだよ。
NECの最新POSを全店に入れてる天下のセブンイレブンの話やで。
家族経営の小規模店舗はそもそもPOSじゃないから、FeliCa対応POS買う必要はないし、セブンイレブンはNECのPOSじゃないし、でたらめすぎ
すみません。レジは東芝TECですね。店舗サーバみたいのがNECか。
QRコードの存在価値ってむしろアタリショック事件を起こす事にあるんじゃないの?粗製濫造で手数料が減りさえすれば後は何でもいい。初期は不正利用があったとしてもその内なんとかなるだろうし。決済ができて自分が不正利用の被害に遭わなきゃ90点なんだから差別化なんて誤差。そりゃあぁなる。できれば迅速で、いろんな店で使えて、チャージが手数料安価&簡単で、スマホを無くしたり他社へ移ったりしても大丈夫だったりした方が良いけども。
現在の電子マネーの問題は手数料が高い事。クレカは商品の数パーセントとかを現金客に転嫁するし、FeliCa系も高い。そこに手軽に参入でき物が高くならないQR決済が乱入してくれれば電子マネーの普及がやっと始まる。正確には店が多く採用したり現金割引の対象にしたりとかだが、そうしないと始まらない。
欧米コンプレックスでは飽き足らずついに中国にまでコンプレックスを抱くようになったからでしょ
下請が中国の会社でQRで安価につくれたんじゃないか。中国籍の男2人逮捕、セブンペイで詐欺未遂容疑 [nikkei.com]まさか仕込みだったのか?
セブンネットショッピングに不正アクセス--15万件が流出https://japan.cnet.com/article/35038897/ [cnet.com]
これで二回目かな?たしかこの時は注文IDが連番で推測可能なうえセッション管理とかなくて予測した注文IDから他人の注文データとか見られたんだっけか。しかも注文ID指定してPOSTすりゃ他人の注文データ自体弄れたとか聞いたな。。。
市況板では名前(小林強)にかけて小林弱とか呼ばれているようですね
記者側はちょっとたどたどしいながらもちゃんと聞くべきことを事前に調べてきた風でしたけど、それに対する回答がとにかく酷すぎましたね。
普段のフランチャイジー=加盟店相手なら、この程度の論理・応対で通用してきたのよ。
電子決済なんてテンプレ化した仕様があるだろうに、そういうのガン無視して再発明してしまったんだろうか?
アプリ、ユーザー対応、記者会見、全てが最低レベルという歴史に残るセキュリティ事故となりました。
パスワードと生年月日の2パス階認証だったということ?
知らないというのも論外な気が…某薬局のポイントアプリでも二段階認証してるんだが…お薬手帳機能はあるけど金銭は絡まないんだけど…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
「二段階・・・認証?」 (スコア:5, おもしろおかしい)
記者会見のクライマックスシーン
https://youtu.be/3-pzOV0OLyw?t=1420 [youtu.be]
23分40秒
記者「なぜ登録したメールアドレス以外にパスワードリセットメールを出せるようにしたのか?」
社長「普段スマホを使ってる方がパソコンなどで操作される際に便宜を図ろうと思った」
https://youtu.be/3-pzOV0OLyw?t=1845 [youtu.be]
30分40秒
記者「なぜ二段階認証をしなかったのか」
社長「二段階認証?」「・・・セブンイレブンアプリの一機能が7Payなので二段階うんぬんはいらないと思った」
いや別に社長が二段階認証を知らなくてもいいと思うんだが、会見場に技術部門の責任者がいない、技術的な質問をそこに振れないという体制が「ダメだこりゃ」と思いました。
Re:「二段階・・・認証?」 (スコア:2)
2段階認証なんて不便だって上が判断した可能性もありますね。
スマホ決済なんて中国じゃ不正が横行してるのに、よく使えるなと思う
Re: (スコア:0)
それこそ、7側はまともに仕様も決めず、
仕様から開発まで中国丸投げしてたんじゃないですかね。
で、情報部門やセキュリティ専門家もチェックせず(7内部に居ない)
なんで、中国でできる不正使用は7PAYでもできると。
Re:「二段階・・・認証?」 (スコア:1)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
Re:「二段階・・・認証?」 (スコア:3, 参考になる)
スマホ使いの人がPCで操作するときに非登録メールアドレスに再設定メールが送れるとどう便宜があるのかも、良く分からない…
キャリアメールを使っている場合(PCからキャリアメールにログインする設定をしていない場合)に便利なのは確かでしょ。
スマホ操作しなくてPCだけでパスワードの再登録が完結するからね。
ついでにいうと、こういうパスワード忘れ等のトラブルというのは機種変更やら端末故障時が多い。
前の機種を下取りにだしてしまって、docomoからauに乗り換えた場合(キャリアメールが使えなくなっている)なんかも有り得る。
ってことでパスワードの再設定リンクを他のメールアドレスに送れる機能ってのは利便性としては有用だよ。脆弱なだけで。
そこはセキュリティオタクも認めないといけない点だと思う。
Re:「二段階・・・認証?」 (スコア:4, 参考になる)
あ、やっと理解できた。こういうストーリーを想定してるのか。
普段スマホを使っている人が、スマホを紛失なり買い替えなりで手元に無い状況に陥っていて、PCから7payアカウントを操作したい。
パスワードはスマホに記憶させてい自分じゃ覚えていないから、ログインするにはパスワードを再設定しなきゃならない。
登録しているメールアドレスはキャリアメールで、以前のスマホが無いからアクセスできない。でもPCからプロバイダのメールとかGmailとかならアクセスできるから、再設定メールが送れるとそっちで見れる。
スマホは手元にないから、2段階認証(SMS)は当然できない。
Re:「二段階・・・認証?」 (スコア:3, すばらしい洞察)
ひょっとして狙ってやっているのか?>7-11
スマホが手元にあろうがなかろうが一番最初の会員登録時にスマホとPC両方のメールアドレスを登録させれば良かったんじゃないの?
Re:「二段階・・・認証?」 (スコア:1)
店舗での初回利用時にレシートに20桁くらいのリカバリキーを印字して、
「これを大切にもっていてください」って渡しておく。
Re:「二段階・・・認証?」 (スコア:3, すばらしい洞察)
レジ周辺にばらまかれている気が
Re: (スコア:0)
感熱紙で数年後には読めなくなってたり…
Re:「二段階・・・認証?」 (スコア:1)
紛失などスマートフォンが手元にない状態になったのなら、セブンイレブンの店頭で手続き・・・・店員さんの業務が増えるな・・・
Re: (スコア:0)
PCと携帯電話向けに分けるまでもなく、IDとサブメアドあてにメアドやパスワード変更をする旨のメールが来るとアラート替わりになる。
PCに2通届いてもいい。
サブメアドを登録するかどうかは利用者の任意にさせて欲しい。
Re: (スコア:0)
実際モバイルSuicaにもありますしね。
PCでやるのかスマホやガラケーでやるのか聞いてきて送られてくるリンクもブラウザで開けるURLだったりアプリ起動用のローカルリンクだったりしました。
Re: (スコア:0)
>そこはセキュリティオタクも認めないといけない点だと思う。
何で?
決済システムなんだから、今回の件では利便性を優先したら絶対ダメだろうに。
「お金」が失われるリスクを考えていないんだね (スコア:0)
不正利用されて損害が生じるリスクというのは確かにある。
しかし、逆にパスワードを忘れてしまって、チャージしたお金が失われる(使えない)リスクもあるんだよ。
https://snsdays.com/download-app/7pay-touroku-use/#7iD-2 [snsdays.com] 見れば分かるように、
「住所」「氏名」の登録は不要だし、iOSなら生年月日や性別も不要で登録可能。
キャリア変更でキャリアメールが使えなくなって、パスワードが忘れてしまった場合、
自分でチャージした「お金」が使えなくなってしまう、これも問題だよね。
不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
> 不正利用の被害額よりも、パスワード忘れ&メールアドレス使用不可 によりチャージした金額が使えなくなった被害額の方が大きいかもしれない。
それは間違い。「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害だ。会社にとって前者の方が重要なのは一目瞭然。
そもそもパスワードもメアドも分からないなら、電話確認か書面での身分証のやり取りが必須なのは仕方ないこと。
そのコストを惜しんで脆弱な実装を採用したのが問題。
Re: (スコア:0)
「報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。」
と言うことだから、ここでの不正利用はユーザーが所持しているクレジットカードがユーザーの意図しないところで使われているってことで、
ユーザーの損害に該当するものなのでは。
Re: (スコア:0)
「不正利用の被害額」は会社の損害だが「チャージした金額が使えなくなった被害額」はユーザーの損害
「不正利用の被害額」もフランチャイジー=加盟店が負う事になっているんじゃないの?
Re: (スコア:0)
納得できる意見だな。この件では脆弱だから設計失敗だが、不正も移行ロスも無視できない。
スマホで身分証の写真を撮る、一定期間後別アカウントに残高移転する形でその間元アカウントはキャンセルできるとか考えたけど微妙。
この件だと元のメールアドレス/ログイン中のアプリに通知を送ってキャンセルできる(パスワード変更は一定期間後)とかが緩和策だろうけど問題は大きい。
SMSまで届かなくなるケースは問い合わせて何とかするくらいしかないだろうな。
Re:「お金」が失われるリスクを考えていないんだね (スコア:1)
クレカ登録・銀行口座登録している人は、クレカ番号や口座番号からリカバリ、
登録していない人は都度チャージ勢だから、財布を落としたとおもってそのチャージ分は諦めてもらう。
Re: (スコア:0)
パスワード忘れ&メールアドレス使用不可なんてユーザーの自己責任だろ。
なんでそんなユーザーのために空けた穴で無辜のユーザーが不正利用の憂き目に遭わなければいけないんだ。
Re: (スコア:0)
誰も設計に問題があることを否定してないでしょ。
みんな何故こんな設計になったのか、何を想定していたのかを考えてるだけだよ。
Re:「お金」が失われるリスクを考えていないんだね (スコア:2)
Re: (スコア:0)
スマホでキャリアメール使ってる人おるんか。
Re:「二段階・・・認証?」 (スコア:2)
https://www.rakuten-bank.co.jp/info/2013/130527.html#anchor-04 [rakuten-bank.co.jp]
Re: (スコア:0)
🖐️「はい。周りは皆そうです。」#主に「LINE使えればガラケーでもいいのに」派と「皆iPhoneだから私も」派。
Re: (スコア:0)
使ってるよ。
理由があって使ってる人もいるわけで、「自分が不要」だから「他人も不要」と考える方がおかしい。
Re: (スコア:0)
まだいる...はず
Re: (スコア:0)
そういえば実際には紛失して取り出せない残高ってのはどういう扱いになるんだろう。
企業にとっては債務?
って事は実際には存在しない債務が見た目上は存在する事になるわけか。
法人税節税とかに使えそうだな。
失効とかするんかな?
まぁ単に使ってない人と区別できないしいろいろと扱いづらいしだろうからあんまり現実的ではないだろうけど。
Re: (スコア:0)
言ってることは理解できる。そういうケースがあるだろうことは想像できる。
でもスマホ使うのになんでわざわざキャリアメール使うのかねぇ、とは思うかな。
gmailもicloudも使えないスマホなんて現役機でないでしょ(暴言)
Re:「二段階・・・認証?」 (スコア:1)
この仕様にしても、設計時にセキュリティーの専門家が加わっているとは思えない。
普通のセブンイレブンの新商品開発の感覚でプロジェクト回してたんじゃないの。
コード決済は、「中国に周回遅れ」の時代から、今度は「とりあえずうちもやっとけの粗製乱造」の時代になってきたな。
今いくつくらいあるんかね。
Re:「二段階・・・認証?」 (スコア:1)
QRコード決済のアタリショック事件になるかもね。
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
退化してるじゃん…。
レジのスループットも悪化するし、多少客を囲い込めるとしても面倒で離れる人も出るし、良いこと無いだろ。
Re:「二段階・・・認証?」 (スコア:2, 参考になる)
ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
スマホ画面に広告が打てるからです。Suicaなんかのカードはかざすだけですが、QRコードはスマホを操作して画面に表示させることが必要です。そこに広告を打つんですよ。
それも「平日昼間に丸の内で、土日と夜間は品川でコンビニを利用する30代男性」「平日は飯能のコンビニを利用するが月に一度は池袋で使う20代女性」といったように広告主に対してかなりピンポイントに広告枠を売れる媒体です。
コンビニがこんな美味しいメディアを使わない手はないでしょう。
まあユーザーにはメリットないけどね。
Re:「二段階・・・認証?」 (スコア:2)
そういやセブンとかPOS画面の広告どうなってるんかね。
POSレジの客側ディスプレイに広告表示されても、支払い時には財布に集中しているし、通路を通りすがるときには注視しないし、そもそも意味ない代物かも。
Re:「二段階・・・認証?」 (スコア:1)
nanacoを無節操にばらまきまくったら年齢も性別もわからんユーザーが大量に生まれてしまって情報として使い物にならなくなった、という噂がまことしやかに
Re: (スコア:0)
> ちゅーか、suicaやnanacoとかの電子マネーがあるのに、なんでQRなんか使うのか全く理解できない。
NFC対応レジに買い替える余裕のない家族経営の小規模店舗でも、スマホがあれば対応できるからだよ。
Re:「二段階・・・認証?」 (スコア:1)
NECの最新POSを全店に入れてる天下のセブンイレブンの話やで。
Re: (スコア:0)
家族経営の小規模店舗はそもそもPOSじゃないから、FeliCa対応POS買う必要はないし、
セブンイレブンはNECのPOSじゃないし、
でたらめすぎ
Re:「二段階・・・認証?」 (スコア:1)
すみません。レジは東芝TECですね。
店舗サーバみたいのがNECか。
Re: (スコア:0)
QRコードの存在価値ってむしろアタリショック事件を起こす事にあるんじゃないの?
粗製濫造で手数料が減りさえすれば後は何でもいい。
初期は不正利用があったとしてもその内なんとかなるだろうし。
決済ができて自分が不正利用の被害に遭わなきゃ90点なんだから差別化なんて誤差。そりゃあぁなる。
できれば迅速で、いろんな店で使えて、チャージが手数料安価&簡単で、スマホを無くしたり他社へ移ったりしても大丈夫だったりした方が良いけども。
現在の電子マネーの問題は手数料が高い事。
クレカは商品の数パーセントとかを現金客に転嫁するし、FeliCa系も高い。
そこに手軽に参入でき物が高くならないQR決済が乱入してくれれば電子マネーの普及がやっと始まる。
正確には店が多く採用したり現金割引の対象にしたりとかだが、そうしないと始まらない。
Re: (スコア:0)
欧米コンプレックスでは飽き足らずついに中国にまでコンプレックスを抱くようになったからでしょ
Re: (スコア:0)
下請が中国の会社でQRで安価につくれたんじゃないか。
中国籍の男2人逮捕、セブンペイで詐欺未遂容疑 [nikkei.com]
まさか仕込みだったのか?
これで二回目かな? (スコア:1)
セブンネットショッピングに不正アクセス--15万件が流出
https://japan.cnet.com/article/35038897/ [cnet.com]
これで二回目かな?
たしかこの時は注文IDが連番で推測可能なうえセッション管理とかなくて
予測した注文IDから他人の注文データとか見られたんだっけか。
しかも注文ID指定してPOSTすりゃ他人の注文データ自体弄れたとか聞いたな。。。
Re:「二段階・・・認証?」 (スコア:1)
市況板では名前(小林強)にかけて小林弱とか呼ばれているようですね
Re: (スコア:0)
記者側はちょっとたどたどしいながらもちゃんと聞くべきことを事前に調べてきた風でしたけど、それに対する回答がとにかく酷すぎましたね。
Re: (スコア:0)
普段のフランチャイジー=加盟店相手なら、この程度の論理・応対で通用してきたのよ。
Re: (スコア:0)
電子決済なんてテンプレ化した仕様があるだろうに、そういうのガン無視して再発明してしまったんだろうか?
Re: (スコア:0)
アプリ、ユーザー対応、記者会見、全てが最低レベルという歴史に残るセキュリティ事故となりました。
Re: (スコア:0)
パスワードと生年月日の2パス階認証だったということ?
Re: (スコア:0)
知らないというのも論外な気が…
某薬局のポイントアプリでも二段階認証してるんだが…
お薬手帳機能はあるけど金銭は絡まないんだけど…