7payの不正利用問題で、問題の原因がパスワードリセットの仕様に問題がありそうだということがわかってきました。
根本的な問題と思われるものがパスワードリセットにおいてメールアドレスを登録したときとは別のアドレスを指定できてしまうということ。つまり、第3者のものにできてしまう。SMS認証の必要があれば助かっていましたが、それすら必要なくて、生年月日なども省略できるような仕様だったようです。
大手のセブンイレブン(セブン&アイHD)がこんな簡単な仕様の問題に気づけずにアプリ開発をしてリリースしてしまいました。
金融関係のソフトウェアでなくても、普通のユーザ登録するサイトでもよくあるような「パスワードリセット」の処理すら満足にできないなんて、いかに経験不足の開発者でいかに少人数で開発をしていたかがよくわかります。
私は今回の件があまりにもお粗末なことから逆に開発者を責めることはできないのかもしれないと思いました。
というのも、仕様を作成した時点で仕様をチェックする人がいるはず、その仕様に基づいてソフトウェアを開発する人がいるはず、その開発をしたものをチェックする人達がいるはず…
この各工程でだれも気づけなかったなんて、よほど酷い状態でソフトウェアを開発していたんだなと想像できてしまいます。少人数でしかも短期間の開発だったんだろうと想像できます。もしかしたら、ソフトウェア開発会社に丸投げしていたことも考えられます。
あたりまえですが、どんなことをするにも人が最も重要です。経験不足の人たちの寄せ集めではこうなってしまうという良い例なのかもしれません。
