セブン・イレブンのオムニ7に脆弱性。攻撃者のメールアドレスへ再設定用リンクを送付されるリスク有り（大元隆志） - エキスパート - Yahoo!ニュース

セブン・イレブンが運営するQRコード決済の7Payが公開僅かで不正アクセスの被害に遭い、話題になっている。セブン・イレブンは7Pay提供以前から、オムニチャネル用IDとしてオムニ7を展開していたが、このオムニIDに脆弱性が存在することが明らかになった。 ■一定の条件を満たせば、パスワード再設定リンクを攻撃者が受信可能以下に、オムニ7のパスワード設定画面を示す。通常このようなパスワード再設定画面では「ユーザID」や「秘密のパスワード」等を入力することで、「ユーザの登録メールアドレス」に自動送信されることが一般的だ。 しかし、オムニIDのパスワード設定画面では、「送付先メールアドレス」が設定可能になっている。 オムニ7のパスワード再設定画面ここに、もし第三者が自分のメールアドレスを登録すれば、その第三者のメールアドレスにパスワード再設定のリンクが送信され、パスワードを新たに設定し、ログインする

[ymm1x]

この記事に書かれてる内容よりもっと酷い状況なので注意 https://twitter.com/HiromitsuTakagi/status/1146537014520532992

[infobloga]

ずいぶん甘いけど金もらってんのかな

[houyhnhm]

システム止めろ。

[don_ikura]

使ってなかったから住所と電話番号デタラメに変更して退会した

[natu3kan]

あんがい、騒動になるまでこう言うのって見つからないもんなんだな。メジャーな会社のサービスでも

[north_god]

7payが出るまで明るみにならなかったのは利用者大したこと無かったのかなー

[dbfireball]

うわぁこれヤベェ。

[nisisinjuku]

nanacoは使ってるが、クレカ登録は鬼門だね。

[tetsuya_m]

オムニ7からこういう仕組みらしい…あれか、キャリアメール使ってる勢からキャリア変更したのでパスワード変更出来ない、何とかして！みたいな問い合わせ多数だったりしたのか…

[toubanjanny]

オムニ7のほうは電話番号メルアド生年月日の3つが必要なので脆弱性レベルが70ぐらい（それでも危ない）なんだけど、生年月日と電話番号も不要な7payの脆弱性レベルは8億ぐらい行ってると思う。