7payのやらかしをちょっとだけ聞いて感じたこと。
7pay祭りがワイワイ始まっているようで、ITエンジニアとしては非常にむず痒い感じなのと、近所に地域密着型のセブンができたので、オープン早々ミソがついて気の毒になー、いう感慨です。
7payが何が問題だったのかというのを少しだけ聞いたのでちょっと思ったことを。
「やるなー」と思ったのが
「パスワードのリセットメールを任意のメールアドレスに送ることができる」
という点ですかね。これには唸った。やるなー!(悪い意味で)
つまり、パスワードのリセットするとき、「自分じゃない、知らない人のメール」にそのリセットができるメールを送ることができるわけですね。それをもらった「他人」は、その人のパスワードをリセットして乗っ取れちゃうわけで。
その「任意のメールアドレスに送ることができる」画面まで、多数のセキュリティ項目があってそこを突破して初めてそこに達することができる、とかだとしても、セキュリティってのは「他の部分をどれだけ固めても、一箇所だけアカンかったら、全体的なレベルはその”アカン”レベルに落ちちゃう」ってのがありまして、「やるなら全部完璧にやれ」という世界であります。
ということで、まさに今回画竜点睛を欠いたのが「パスワードリセットメールを任意のメールアドレスに送ることがてきる」ようにしちゃったことですかね。
被害に遭われた方には大変お気の毒だと思うんですが、一つだけどうしようもなく気になってるのが、
「そこそこのエンジニアが雁首揃えて作ったはずのシステムが、なぜこの脆弱性を含んだままリリースされたのか」
と思うわけですねー。
「誰も気づかなかった」はずはないと思うんですよね。
誰かが「これヤバいんじゃね?」って言ったと思うんですよねー。
そんで、それを黙らせちゃう何かの力が働いたんじゃないかと思っちゃうんですよねー。
ファミペイと7payのリリース同日だったしねー。
とか、色々と勘ぐっちゃうわけです。
つまり、「いいからやれ」がまかり通った、と。
ほんとのところはわかんないですが、私の経験上「いいからやれ」が通ると、システムの出来が少しずつ悪くなっていきます。セキュリティに関係ないところでだったらいいんですけど(よくないw)、セキュリティのところでそれやったらお終いよ、と思いますね。
7payを作った人たちは今頃元気でおられるでしょうか。