最大の原因は、パスワードを簡単に変更できる仕様だった、ことだと思われます。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
コード決済の7payは、スマートフォンのセブンイレブンアプリの中の機能の一つとして実装されています。
7pay を利用するためには、7iDとの紐付けをおこないます。
7iD とは、7&i が運営するショッピングモールであるオムニ7のアカウントにもなっています。
この 7iDのパスワード変更が、以前より容易におこなえる状態であったのです。
パスワードの再設定は、あらかじめ登録した生年月日とメールアドレスがわかっている場合に簡単にできました。
再設定の際には、別のメールアドレスへ通知させることが可能でした。
7iD のパスワードをいくら難しくしていたとしても、7iDの持ち主が気がつかない間に、パスワードを再設定することが可能でした。
この記事を作成する時点で確認した所、パスワード再設定を通知するメールアドレス入力欄は表示されていません。
しかし、開発者ツールを使うと入力欄を復活させることができ、パスワード再設定までおこなえる状態に変わりはない、との指摘があります。
https://www.omni7.jp/account/OP_OSD0013_001.do?mmbrRgstType=4
追記2019/7/4 19:25
2019年7月4日14:00から、7pay不正利用に関して、セブン&アイによる会見がおこなわれました。
テレ東news のYouTubeチャンネルに、アーカイブ動画がありますので、リンクしておきます。
