新たなデバイスでログイン時にPINコード、もしくは二段階認証を要求しそのSMSかメールアドレスにワンタイムパスワードを発行するという流れ。しかしそういったセキュリティを一切しておらず、IDとパスワードだけでログイン出来てしまうと言うザルさ。

更に今回の被害の拡大に繋がった原因として、パスワードの再設定として生年月日とメールアドレスだけで再設定可能。しかもそれとは別に「送付先のメールアドレス」という項目もありこれを悪用されたと思われる。
では何故生年月日が分かったのか？　それは生年月日を入力しないとデフォルト値は2019年1月1日になるようだ（iOS版のみ）。あとはその人のメールアドレスと送付先のメールアドレス（乗っ取り犯のメアド）を入力し完了。
途中に画像認証という物もあるが全く意味がない。むしろ無くてもいい。

このほかにもメールアドレスやSNSから生年月日を推測された人も多いだろう。よく「xxxx1225@～」というアカウントにしている人を見かけるがまさに誕生日だ。これだけだと何年生まれかわからないので、SNSを見て何年生まれか調べると言うわけだ。

致命的なのが任意のアドレスに送信出来たこと。こんなの乗っ取って下さいといわんばかりである。

そのほかにも何回も捨てアカで登録すればおにぎりが貰えてしまうという問題も発覚している。普通は電話番号と紐付ける物ではないだろうか？

現在セブンイレブンのウェブサイトにある「ご利用可能なお支払い方法」からも『7pay』は削除されてしまった。今回の不正利用のミスはセブンイレブンにとって相当な痛手ではないだろうか？

どうやら同じ7月1日にリリースした『ファミマペイ』に負けるわけにはいかずに不具合やセキュリティの導入を先送りにしてリリースしてしまったようだ。ただ今回の見切り発射で『7pay』の負けは確定したも同然だ。

今回の『7pay』を巡って不正利用したと思われる中国人2人が詐欺未遂で逮捕されている。またこのほかにも中国のSNSウェイボで不正利用を指示している者がいるという。

関連：セブンイレブンが新たに開始したスマホ決済サービス『7pay』の不正利用が相次ぐ　乗っ取りまで