7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
コメント
注目のコメント
セブンが悪いというか、これは開発会社が悪い。
パスワードの再設定フローなんて会員登録の必要なウェブアプリケーション作ったら絶対といって良いくらい作る部分だし、セキュリティをどう担保したら良いかなんて大抵のPMとエンジニアが知っているし、そもそもライブラリ化されていてそれ使ったら済む話。
対応もお粗末で、5分でできるような一時対策に走ったようなかたち。本来であればバリデーションごと改修が必要なところで、それをするには、テスト含めると1-2日かかるかもしれない。それならそれでいったんサービスをクローズするのが筋だが、大量の問い合わせや現場で質問が殺到するなどオペレーションが荒れる可能性、そもそも「しばらく使えません」と表示するための仕組みを作っていなかったであろうことから、5分でできる対策に走ったものと思われます。
僕だったらとりあえずパスワード変更画面だけでもいったんクローズしますが…。
正直みなさんがおっしゃっているほど問題の根は深くない。よくあると言ってはいけないが、開発会社のやらかしです。7p担当:あれ?2段階認証はどうした?
開発ベンダー:要件に無いので実装してませんよ。仕様レビューしたじゃないですか。
要件はPA-DSS準拠でしょ?そこは守ってますから。
7p担当:おいおい、こんなの瑕疵だろ。すぐ直せ。
開発ベンダー:いやいや、仕様変更ですから、追加費用貰わないと動けませんよ。
7p社長:おい、これだけ宣伝してるんだから、予定通り出せないなんて許されないぞ。
7p担当:はーい。出しまーす。
みたいな。
以下が勉強になりました。
https://newspicks.com/news/4028104/
開発ベンダーは動かず、担当者が小手先で対応中かと。セブンというブランドが失墜したと思った今日この頃。
中食文化を発展させたのは間違いなくセブンイレブン。
レッドオーシャンを自ら差別化し、プライベートブランドを開拓したセブンイレブンが、、、これか。
いったい何があったんだ。。すこし前のit大臣のように何もわかってないシステムトップか、と思われても仕方ない。
お手伝いしましょうか?
と、思った人はおおいと思う。ほんと、勿体ない。
だから日本は世界に勝てないんだ、とまで思わせた事件。
そんなグダグダならお手伝いしたいわ。