omni7もすべてのIDのパスワードを強制的にリセットすべきではないか
これは行間を読むとomni7で不正ログインが合ったと言っているように思えてならないのだが。
不正ログインがなかったとしても、全てのomni7のIDのパスワードを20文字程度に強制的にomni7側でリセットして、登録したomi7のID(登録したメールアドレス)に投げてしまえばいいではないか。
不正ログインがなければ、少なくとも利用頻度の低いIDはomni7側で安全だと確証を持てるパスワード強度を持ったパスワードにしておくことができるのだし。
稀にomni7を使っていたので、支払いの設定にクレカを登録していないことを確認してそっとログアウト。
今、7payしかり、omni7しかり、必要な対策は、2段階認証はやるとして、ログインをしたら、登録したメアドにログインしたことを伝えるメッセージを送信して欲しい。
メッセージが届かなければ不正ログインは無いと言える(このインシデント前からすでに乗っ取られていれば話は別)だろうし、omni7でパスワードを一斉にリセット後にログインするときには、ユーザ自身により長さを長くしたパスワードポリシーを掛ければいい。セキュリティに感度の高いユーザはこの数日で退会なり、なんなりしているだろうから、どっちにしてもECサイトとしては、ダメージはすでに受けるだろうから、ここでパスワードを強制変更してもそれほど影響はない(すでにじわじわと影響が出ているだろう)なのである。
それより、自社の事業を内製化していたとしたら、7月11日まで待たずに2要素認証もパスワードリセットもリリースできただろう。もちろん、devopsだったら。
何より、自社の事業なのだから、サービスを一時的に閉じ流という選択肢もあったはずである。そのくらい消費者の安全を脅かすインシデントだと思う。