QRコード以前の問題なんだわ
7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/1907/04/news079.html
(一部)
第三者がパスワードを再設定可能
7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3日、不正ログイン防止のためにログインIDやパスワードの管理を気を付けるように呼び掛けた他、クレジットカードとデビットカードによるチャージを停止した。
具体的な手口は明らかになっていないが、ネット上では、アカウントのパスワードを再設定する手順に問題があるとの指摘が出ている。第三者がユーザーの生年月日と電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにパスワードを再設定する画面のURLを送れるというものだ。
解決していない?
これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。
同社は4日、記者会見で「普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。そういった人のために(フォームを)用意していた」と説明した。