日本7–11一夜改口，到底7Pay系統出了什麼問題？

電子商務分三種

1. 電子票證

2. 第三方支付（現在有超過 5,000家）

3. 電子支付（目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家）

7Pay屬於第三方支付

7–11從一開始就太鬆懈

1. 7iD帳號太容易被盜。只要按照正常手續，任何人都可以輕鬆取得、登入他人的 7–11帳號。
2. 7–11對於太輕忽重要個資。通常和信用卡資訊有關的金融資料，都會採用兩階段驗證（＊）。
   7Pay不僅沒有兩階段驗證的設計，想要更改 7–11「7iD」帳密，只要有帳號，不需要輸入出生年月日也能更改密碼。更正確地說，在申請 7iD帳號的時候，出生年月日就不是必填資訊，沒有特別輸入的話就是系統預設日期，這些都可以查得到。
3. 最嚴重的一點就是 7–11對於自家的系統太有自信。
   7Pay系統上線隔天，就不斷有用戶指出自己的帳號疑似被盜，但 7–11在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
   而且 7–11在記者會上不斷強調，自家的 7Pay系統沒有弱點，這些設計都是為了使用者的方便而設計的。

小補充：兩階段驗證
常見的兩階段驗證包括簡訊驗證，或e-mail驗證。系統會寄一封簡訊或e-mail到指定的信箱，使用者需要收信確認驗證密碼，再回到會員登入頁面上輸入這組密碼。
兩階段驗證未必是「最安全」的方式，簡訊驗證或e-mail驗證也有它的缺點，而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay的事件來說，假如 7Pay有加裝兩階段驗證系統，或許就能防止第三者登入 7iD帳號。

被第三人改密碼，當事人可能完全不知情

系統上線前可能根本就沒有測？

經濟產業省也開罵

過了一天終於改口

參考資料

1. 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
2. セブンペイの不正アクセスはなぜ起きたのか
3. セブンペイ｢不正アクセス｣が与えた深刻影響
4. 7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン＆アイは…
5. セブンペイ、２段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし
6. セブンペイのポイント還元参加認めない可能性も 経産省
7. セブンペイ、２段階認証を導入へ 会見一夜明け一転対策
8. 7pay以外は大丈夫か？主要Payログイン時の安全性まとめ