改めまして
お恥ずかしい限りですが、セブン-イレブンアプリの乗っ取りにあいまして、7payの不正チャージにより30万円利用されましたあまりに対応がひどいので、順番に対応状況を記載していきます
ハッシュタグはシンプルに#7pay
— めるかば (@methuselah3) 2019年7月3日
パスワード二重で違うパスで抜かれるとどうしようもないです
— めるかば (@methuselah3) 2019年7月3日
失礼します。マンインザブラウザ(MITB)、あるいはサーバーから直漏れ、どちらかの線が濃厚だと私的に考えてます。16桁で使い回し無しでも破られたので(ハッシュ漏れブルートフォースにしても攻撃が同時多発、多数過ぎ)
— 他魯毎 (@RYUTarumy2019) 2019年7月3日
僕もセブンに電話しました。QAを見ろと言われました。よくある障害ですか?と聞いたら、ないです。だそうです。何かあればまた連絡してください、と言いながら連絡先すら聞かれなかったです。その場で逃げ切るかしか考えていない対応でがっかりです。本件に起因する保証は一切しないと言われました。
— 鬼のダイエットは終わったー (@shino_kickboxer) 2019年7月3日
ちなみに私のチャージは1分以内に3回やられてますよ
どんだけ手練なんだと pic.twitter.com/xu8joIgDez
— めるかば (@methuselah3) 2019年7月3日
しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ
クレジットカード登録したら本当にヤバイよ!
7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg— シェアバー (@Sharebars) 2019年7月3日
7payアカウント乗っ取り被害に会いました。
昨日利用登録及び決済クレジットカード情報登録した後5000円チャージした「7pay」で、今朝8時01分から08時40分の間に、合計6回、19万円のクレジットカードからの不正チャージと、直後に東京都内で合計2回の高額決済が行われた。— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
【写真】7payで不正アクセス被害に会いました。
今朝短時間に19万円分の不正アクセスによるチャージと2回(9万5千円と10万円)の高額決済被害に会った履歴のスクリーンショットの一部です。
1分間で3回のチャージとは、人間業でしょうか? pic.twitter.com/60V7GSI6eX
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
クレジットカードカード会社からの確認依頼で見に覚えの無い複数回の高額チャージと100キロ以上離れた東京都内で決済が実行されているのを確認し、不正利用被害申告と対応措置を取りました。
問題発生箇所は調査中との事ですが、落ち着くまではカード・金融機関情報の一旦削除をお勧めします。
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
【続報】7pay アカウント乗っ取り被害に会いました。
クレジットカードカード会社の対応については何ら不安はありませんでしたが、7pay側は不正アクセス以前の、私自身の意思によるチャージ分の補償の予定はないとの事。
利用登録者(私本人)アプリ利用登録上の落ち度は無いにもかかわらず、— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
この言い切り方は受け入れ難く、私自身の本アプリ利用上のセキュリティ管理には落ち度は無い旨伝え対応を求めた所、「どうしてもと言う事で有れば、警察への被害届け番号を改めてお知らせください」との事。
「補償しません」「はい分かりました」と言える人はどれ程居るだろうか?
— Tack C. Mizoguchi (@ttack1122) 2019年7月3日
分かりづらかったですね。
1回のチャージ上限が3万なので、6回だと18万まででは?
それと3Dセキュアも突破されてるとの事なので、クレジットカード会社に登録してるデータも抜かれてますね。
スマホのウィルス自体も疑ったほうが良い案件です。スマホ内データの削除もお勧めします。— 近くて便利な元社員 (@Op5UCEkRAbdTUJK) 2019年7月3日
ペイペイでもあったけど、クレジット情報のリークが多すぎますね。
システムの脆弱性なんでしょうけども、マネーレスには危険が付きものってことを再認識しなきゃいけませんね…— たぬきの人 (@tanukinohito) 2019年7月3日
因みに本当にご自身に落ち度ありませんか?
ID・PWを使い回ししてたりとか??
3dセキュアあるのに突破されるのは
おかしいと思う。— turbo8902 (@turbo8902) 2019年7月3日
パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。
— のらねこ!C96 4日目月曜 南ラ26b (@ragemax) 2019年7月3日
と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT
— のらねこ!C96 4日目月曜 南ラ26b (@ragemax) 2019年7月3日
パスワードリセット時に送付先メールアドレスを指定可能なんて前代未聞です。
パスワードリセットでは登録したメールアドレス以外送れないのが正しい実装です。
セキュリティ関連者がプロジェクトに関与していないとは残念です。セブンイレブンがまるなげして仕様のチェックを怠ったとしか思えません。— 毒舌ガジェッター・RISS (@snanjo) 2019年7月3日
セブンイレブンの問題が思った以上にセブンイレブン側の大大大大大大大馬鹿が原因だった模様
素人だけで作ったのかな?
笑いと怒りがこみ上げるわ
— 武井洵 (@jun_takei) 2019年7月3日
イメージとしては昔のLINE乗っ取りと同じ感じかも(推測)。メールとパスワードだけで別端末に7payを使えるセブンイレブンアプリが移行できてしまう。犯人は端末を用意し、リストを元に総当たりしてセブンイレブンアプリを乗っ取る形か(まだ検証必要です)セブン側は移行時の電話認証を用意するべき
— 三上洋 (@mikamiyoh) 2019年7月3日
7pay不正利用問題。私の場合には75,000円カードからチャージされたところで止められたので、7payがチャージ金額をカードに戻してくれれば被害はゼロなのですが、7pay側が警察に被害届を出さないとカードに戻さないと言っています。しかも7payは止められ、チャージ金額を私も使えません。(泣)
— 藤川大祐 (@daisukef) 2019年7月3日
いいですか皆さん。エンジニアの給料が安すぎたり、よくわかってない営業のせいで納期が短すぎたり、無理難題をふっかけてくる顧客がいたりすると、7payみたいなことになるんですよ。勉強になりましたね。
— genkyo (@c_genkyo) 2019年7月4日
セブンペイ社長緊急会見要約
「事前のセキュリティ審査で問題なかった」(キリッ)
「2段階…認証…?」
「SMS認証?SMSってツイッターのことですよね、みなさんがツイッターされてるとは限らないですし」— たくと (@takuto_msd) 2019年7月4日
セブンペイの記者会見まとめ
・社長SMS認証をツイッターだと勘違いする
・全面停止にはしない(チャージ、新規登録停止のみ)
・まだ原因分からんな
・セキュリティチェックの段階では問題無かったよ←いやどういうチェックだよ
・社長「2段階認証???????」
— 小栗(元Guriiii)@いろいろ (@NTVandDzikkyo) 2019年7月4日
セブンペイの会見、何かを言っているが何も言っていないスキルが高すぎて、大組織のトップに立つにはこういう風なスキルが必要なんだなぁと感動する。
— ところてん (@tokoroten) 2019年7月4日
7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が(特に役員レベルの意思決定や権限を持つ層で)どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。
— 丹治吉順 a.k.a. 朝P (@tanji_y) 2019年7月4日
悲惨なのは、テクノロジーが理解できていない経営者は、登用する人材が本当にテクノロジーを理解できているかどうか、それ自体を判断・評価できない点にある。
そういう経営者が居座っている限り、テクノロジーを理解できる人材が企業の意思決定に関わることはきわめて困難になる。
— 丹治吉順 a.k.a. 朝P (@tanji_y) 2019年7月4日
セブンイレブンのような大会社とNTTのような大会社が、タッグを組んで作ったシステムが、明らかに経験のない素人が作ったような設計で、セキュリティが穴だらけで吹っ飛んだというの、まさに技術者に金を払わない、価値を置かない、日本のダメ経営の見本みたいな気がする。
— 鐘の音@三日目南ミ-31b (@kanenooto7248) 2019年7月4日
7payの不正利用騒動、「7pays war」って言われてるの見かけてめちゃくちゃわろてる
ぼくらのnanaco間戦争……— 獣になれないもりそば🍺 (@morisoba4u) 2019年7月4日
【セブンペイ記者会見】
記者からの質問に対して
社長「二段階認証なにそれ?」
社長「SMS?Twitterとかですか?」
記者「なぜこんなに被害が出るまで放置したんですか?」
社長「私どもは対応が遅いとか放置していたという認識はございません」ドヤァァァ
なんだこの馬鹿は(笑) pic.twitter.com/Gg8OD89qd4
— あかちゃん (@jiyuwomezasite) 2019年7月4日
セブンの社長がSMS認証をTwitterと勘違いしたなんて話はデマなんだよなぁ…
デマが真実と広がってる怖さとソースを確認しない人達の面白さ pic.twitter.com/jYlzsKcNGf— 筍@お前は不適切 (@shita_takenoko) 2019年7月4日
7Payはセブンイレブンでしか使えないし、Famipayもファミリーマートでしか使えないし、もしかして日本全国どこの店でも使える現金っていうのは最強なのでは?!💡
— るい(14世) (@B747_300SR) 2019年7月3日
楽天「そうはさせねぇ」 pic.twitter.com/YpeZGAd2qp
— K&K@6日神戸戦(H) (@Salvare014) 2019年7月4日
でも、五千円札一万円札はバスでは使えない…。
— ちょっぱ (@pc8801mr) 2019年7月4日
それを日銀Payといいます
— 世界四季報(セカ報) (@4ki4) 2019年7月4日
「7pay」の不正アクセス問題で、初めての逮捕者です。
詐欺未遂の疑いで逮捕されたのは、いずれも中国籍で住所・職業不詳の張升容疑者(22)とワン・ユンフェイ容疑者(25)です。2人は3日、東京・新宿区の「セブン-イレブン」で他人名義の「7pay」を使い、電子たばこ40カートン、20万円相当を購入しようとした疑いがもたれています。
警視庁によりますと、張容疑者は指示役から中国版チャットアプリ「WeChat」で他人名義の「7pay」のIDやパスワードの情報を受け取り、店舗を訪れていて、ワン容疑者は運転役だったということです。
取り調べに対し、張容疑者は容疑を認め、「たばこ1カートンにつき300円の報酬をもらう約束をしていた」と供述しているということですが、ワン容疑者は「加担していない」と容疑を否認しています。
7pay事件、中国籍の男2人逮捕|TBS 20190705
詐欺未遂の疑いで逮捕されたのは、いずれも中国籍で住所・職業不詳の「張升」(ジャン・ション)容疑者(22)と「ワン・ユンフェイ」容疑者(25)です。https://t.co/OXYYqQ9JIXhttps://t.co/F5IGL162Mlhttps://t.co/TBHb0AvhFc
セブンペイ pic.twitter.com/Na14h9mfPC— washima (@ewashimax) 2019年7月4日
セブン&アイ・ホールディングス(HD)のスマートフォン決済サービス「セブンペイ」を悪用したとして中国籍の男2人が詐欺未遂容疑で逮捕された。うち1人は中国の対話アプリ「微信(ウィーチャット)」で不正使用の指示を受け、7、8人分のIDやパスワードを伝えられたことが5日判明。警視庁は不正使用について、国際的な犯罪グループが関与した疑いがあるとみている。
「報酬をあげる」「買える分だけ買ってくれ」。スマホ決済「7pay(セブンペイ)」をめぐる詐欺未遂容疑で逮捕された中国籍の男は「微信(ウィーチャット)」で指示を受けていました。
▶セブンペイ不正利用、対話アプリで指示 組織的関与かhttps://t.co/8rrZCzL5hF pic.twitter.com/b78F2IOWDg
— 日本経済新聞 電子版 (@nikkei) 2019年7月5日
7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます pic.twitter.com/Zn3uBPuas0
— 赤鉛筆 (@aka_pencil) 2019年7月4日
コメント