パスワードを忘れた? アカウント作成

「7pay」問題、セブン&アイの対応に懸念の声」記事へのコメント

  • ぶっちゃけユーザの話は信用できないからな。
    ヒントぐらいに思っておかないと、真に受けて調査するとあらぬ方向に進んでしまうことがよくある。
    自分が問い合わせる立場だったときは、
    「だから~だって言ってるでしょう。その情報、収集する必要あります?」
    みたいな感じだったが、調査する立場になると、
    「~だって言いましたよね?収集してもらった情報とぜんぜん違うじゃないですか」
    みたいな感じにw

    • by Anonymous Coward

      > ぶっちゃけユーザの話は信用できないからな。

      パスワードを使いまわしてないのに被害にあった件は、決済処理の専門家から、信頼できる証言が出てますよ。

      7payのみならず、オムニ7の外部ID連携に大穴があって、やりたい放題だったって件も説明してないし、
      虚偽説明で誤魔化そうとしてるのは明らかでしょう。

      『7iDやオムニ7は「他の同種のサービス」と比較し、遜色ない』という説明は失笑モノ。

      オムニ7は影響範囲が自社以外にも及ぶので、こういう幕引きにしようとしてるってとこでは?

      • by Anonymous Coward on 2019年08月07日 11時56分 (#3665530)

        これ?
        https://twitter.com/methuselah3/status/1146333934587789312 [twitter.com]

        嘘言っているとは思わないけど、勘違いの可能性は?
        エビデンスなんもないよね?
        他に例外の人はいないの?

        調査会社と結託してセブンが隠蔽しようとしてる可能性も否定しないよ。
        でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。

        そういうことを言っている。

        • by Anonymous Coward on 2019年08月07日 13時03分 (#3665569)

          > これ?

          この人です。

          > 嘘言っているとは思わないけど、勘違いの可能性は?

          その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。

          > でもおれから見たら、セブンの言い分も、使いまわしていないという証言も同じぐらいの信頼度でしかない。

          ・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった
          ・外部ID連携機能に穴があり、それを使った不正利用が可能だった

          ってあたりを説明していない以上、セブンの言い分が信用できないのは確定しているのでは?

          なお、オムニ7の脆弱性は昔から存在し、不正利用したグループはずいぶん前から今回の攻撃の準備をしていたでしょうから、
          パスワード使い回しによる不正利用が多数あったという点は正しいと思います。
          セブンの発表の問題点は、それ以外の不正利用もあったという点を誤魔化しているところです。

          • by Anonymous Coward

            >その方面の専門家ですし、たしかTVでもこの人は証言してましたし、勘違いの線はほぼないでしょう。
            なんのエビデンスにもなってないから。ていういかそんなことを信用する根拠に?!絶句しちゃうな。
            過去のTweetも少し遡って読んだけど、それだけでは全面的に信頼できるほどの専門家とは思えなかったし。

            それに勘違いや思い込みは専門家でも起こす。
            相手のスキルがあると思ってるからこそ、話を信じて確認を怠ってしまい、迷走することが多々あるの。

            >・パスワードのリセット機能に穴があり、それを使った不正利用が可能だった
            >・外部ID連携機能に穴があり、それを使った不正利用が可能だった

            個人情報は漏れるかもしれないが、不正利用はできないよ。
            その辺の区別すらつけられずにはしゃいでた人たちか…。

            • by Anonymous Coward

              > 個人情報は漏れるかもしれないが、不正利用はできないよ。
              > その辺の区別すらつけられずにはしゃいでた人たちか…。

              え?
              脆弱性を利用してログインはできるわけですから、
              アプリでQRコードを表示することもできるわけで、
              既にチャージされているアカウントならば不正利用やり放題なのでは?

              どういう根拠で不正利用が「できない」と主張されているんでしょう?

              • by Anonymous Coward

                おっと失礼。不正利用というのはチャージされた高額のものを指すとばかり思ってましたので。

            • by Anonymous Coward

              >なんのエビデンスにもなってないから。

              それいったらあんたが必死に主張してる内容自体エビデンス皆無なんですが?自覚ないの?

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...