ダメだこりゃ… スマホ決済サービス「セブンペイ」不正アクセス事件は調べれば調べるほどアウトな案件
セブンペイは既存のセブンイ-レブンアプリの更新版としてリリースされました。そして、セブンペイ登録のアカウントはセブン&アイホールディングスの共通ID「7iD」を利用できるシステム。
しかも、この「7iD」は「メールアドレス(アカウント名)」と「生年月日」と「電話番号」だけでパスワードをリセットできるんです。その上、パスワードをリセットした後で送られてくる確認メールの送信先を「別のメールアドレス」に指定できる機能がありました。
もっとわかりやすくいうと、この手のサービスには「パスワードを忘れたら?」みたいな救済措置がありますよね。つまり、「7iD」の会員IDやメアドが闇サイトなんかに漏れていたら、そこからパスワードリセットのページに入れます。そこで漏れていた生年月日とID(メアド)を打ち込んだ後、電話番号を何らかのソフトとかを使って「090」と「080」を総当たりして入力したら、パスワード変更の手続きが取れるということ。