7pay横断幕消えたねえ pic.twitter.com/Whau0lsEMB
— ぽよぽよちゃん。 (@poyopoyochan) 2019年7月5日
※7payの小林強社長、自身の脆弱性(小林弱)を露呈(2019/07/04)
セブンペイのは、実際に手を動かした奴と単体試験した奴は絶対気づいてるハズなので、問題に気づいたけど仕様書通りな以上は報告できないっていう空気だったんだなってのが大変よく伝わってくる。
— もけけぴろぴろ (@imai141421356) 2019年7月4日
オムニ7は最初から脆弱性があるシステムだが今まで攻撃らしい攻撃はなかったから何の疑いもなく7iDとしてID基盤として使われるようになり、今回の 7pay でも要件にはなっても再検証の対象とはされなかった。攻撃することにうまみがあったため即餌食になった、ってところですね。
— _ (@apstndb) 2019年7月4日
2013年当時、オムニ7として派手に予算を投じグループ全体を巻き込むと宣いリリースしたシステムであるにもかかわらず、認証系にいまだにStrus使っていたなどという時点で、ベンダーがどれだけ雁首揃えていてもカシラが馬鹿ならどうしようもないのだ。
— ktgohan (@ktgohan) 2019年7月5日
omni7はITリテラシの高い層があまり使ってない上に、おそらくbug bounty programもやってないから、Ethical Hackerにまったく着目してもらえなかったんだろうなー
— ただただし (@tdtds) 2019年7月4日
「bug bounty programをやらないこと」がリスクになっているとも言える。Ethical Hackerが賞金の出るサービスにばかり時間を割くから、そうでないサービスは脆弱性が見過ごされてしまうという格差が発生する。
— ただただし (@tdtds) 2019年7月4日
アプリ下請けと詐欺被害者の亡骸を燃料に株価は上がる
— DON (@D0N12345) 2019年7月5日
あぁ、7payコケたおかげでアクリート上がんのかw
— めーよ (@meiyo_komon) 2019年7月5日
※アクリート=認証用SMS配信サービスに強み
ちなみに、SMS認証や送信APIサービスは既に広く普及してるので、これキッカケで急に需要が増えるとは・・・
— ウタマロ (@utamaro_daddy) 2019年7月5日
セブン&アイは時価総額3.3兆円だし株価はビクともしないし好感度ナンバーワン企業だしテレビ局のスポンサーだから、ネット系サービスのセキュリティがザルでも7Payで不正があっても被害者が出ても些事
— はまちや2 (@Hamachiya2) 2019年7月4日
※順調な第1四半期決算の数字を受けて
7pay問題は原因究明中ですが、「二段階認証」など不正利用防止ガイドラインが守られていなかったことは問題。
— 世耕弘成 Hiroshige SEKO (@SekoHiroshige) 2019年7月5日
本件を受けて、経産省は決済事業者に不正防止のためのガイドラインの遵守を再度求め、常に最新情報を収集し、不断にセキュリティレベルを向上させるよう要請。
「今回不正使用が発生したコード決済はキャッシュレス協議会策定のセキュリティガイドラインが守られていませんでした(怒)」
— tetsu (@metatetsu) 2019年7月5日
経産省から直接怒られるってなかなか無いぞ7pay…
ニュースリリース/経済産業省 https://t.co/kII7P2fvYZ
7pay システムの開発運用チーム可哀想に。
— Hiroaki Asai (@integra) 2019年7月5日
これからあのザルなOmni7基盤使ったセブンイレブンアプリに後付けで2段階認証実装するんだぜ?世の技術者の注視の中で。
完全に7pay を悪者にして7iDから目を逸らさせるつもりかな(笑)
— hiroyuki tsu (@hiroyuki_tsu) 2019年7月5日
よっぽど7iDを守りたいのかな
「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足のお知らせ|セブン‐イレブン~近くて便利~ https://t.co/OtmEwXNWxT
リーダーに不安な人が…
— 空き缶 (@akikankeri) 2019年7月5日
7payが二段階認証を導入しても、根本のomni7が全く信用ならない状況のままじゃ意味が無い。
— しの (@SH1N0) 2019年7月5日
omni7(7&i HD)、完全に7Payに責任押し付けたいみたいだね。
— SIG (@sig_246) 2019年7月5日
なら、どうしてパスワード変更画面を改修したのだろう?https://t.co/Dr7yXlFlhQ pic.twitter.com/z0IOYp6I2U
オムニ7が「ID・パスワードに関する重要なお知らせ」出してるけどさ
— らさ (@rasa_tw) 2019年7月5日
なんか7payのサービスの問題にしてたり
しかも「生年月日や氏名を含まない、8文字以上のもの~」推奨してたりだけど
そもそもはオムニ7自体がID(メアド)と誕生日だけで第3者がパスワードリセットできちゃう仕組みだったじゃん?
オムニ7や同じシステムつかってる通販ショップが元から持ってたセキュリティの穴であって7peyを隠れ蓑にしてるのは無責任なのでは。
— らさ (@rasa_tw) 2019年7月5日
不正アクセスされてないか注意喚起しないといけないのはオムニ7他利用者に対してもだとおもうんだけど。
グループ間の力関係とか今後どっちのブランド守るとかの結果なんだろうね
— いお (@iorijiiiiiiiiii) 2019年7月5日
omni運営してるのは本体なんだから、きちんと説明責任果たせよと思う。本体が不正アクセスによって個人情報漏洩した可能性があるなら、適切な機関(組織)に報告すべきだし、ブランド保身のために取った行動が後で大問題に発展しかねない。
— SIG (@sig_246) 2019年7月5日
腐ってるからねw誠意ある企業なんて見た事ないしなぁ。これユーザーの保証云々とかも喉元過ぎるまでフルシカトでしょw
— いお (@iorijiiiiiiiiii) 2019年7月5日
omni7に問題があったと公表すると、年間1200億円以上もある販売チャネルに大打撃を与えるから渋ってるんだろうね。エンドユーザーへの補償は株式会社セブンペイの記者会見でチラリと上がってました。カード会社が補償するか、またはそれ以外の方法で~という感じでした。
— SIG (@sig_246) 2019年7月5日
セブンアイネットメディアがセブンイレブンアプリの他に出してるiOSアプリにオムニ7アプリ、アカチャンホンポアプリ、ロフトアプリとあって全部オムニ7のネットショッピング基盤を使ってる。認証基盤としての危険性を各社のEC担当はどう認識してるんだろうね。
— Hiroaki Asai (@integra) 2019年7月5日
セブンの広告代理店ヤバすぎる…https://t.co/3qdQ9xco0G
— nots™ (@call_me_nots) 2019年7月4日