7pay(セブンペイ)を利用する上で必須となる「7iD」では、パスワードを忘れた際にパスワード再設定メールを任意のメールアドレスに送信できましたが、セキュリティ上の問題が指摘された為か、登録メールアドレスにのみパスワード再設定メールが届く仕様に変更したようです。
第三者によりパスワードを不正変更される恐れがあった
7pay(セブンペイ)の不正アクセス被害により、安全性が確認できるまでの間はクレジットカードやデビットカードなどによるチャージ機能が制限されている状況が続いています。
現在も一部チャージ機能の再開目処が立っていない中、利用者からは「7iDのパスワード再設定メールを指定メールアドレスに送信できる問題」が指摘されていました。
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。
ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 https://t.co/2PkHOywbxV pic.twitter.com/wO2hrzrp9K— shao (Sho SAWADA) (@shao1555) 2019年7月3日
この問題はYahoo!ニュースにも掲載され、利用者からは不信感を抱く反応が多く見受けられる状況です。
7iDパスワード再設定ページから「送付先メールアドレス」を撤廃
7iDのメールアドレスが「tanaka.19850404(at)ドメイン」など、生年月日を含むメールアドレス使っている場合、第三者が容易に生年月日を予測することができ、容易にパスワードを不正変更することができる危険な仕様でした。
これらのセキュリティ上の懸念を指摘された為か、セブン&アイ・ホールディングスはパスワード再設定ページから「送付先メールアドレス」の入力欄を撤廃し、7iDに登録しているメールアドレス宛にパスワード再設定メールを送る仕様に変更したようです。
今後セブン&アイ・ホールディングスから、不正アクセス被害の全貌や対応などについて発表があるものと思われますが、安全性が確認されるまでの間は、一旦7pay(セブンペイ)アプリを退会、あるいはクレジットカード情報を削除するなどした方が安全のようにも思えます。
コメントを投稿する(承認後に反映されます)