ネット上では会見での対応に批判が噴出し、炎上状態になった。特に大炎上したのが、記者から「利用登録時の2段階認証を導入しなかったのがセキュリティーの欠陥では」との質問に対して、小林社長が「2段階認証」を理解していないと思われる反応を見せたことだ。ツイッターには「社長の経歴、ITと関係ない」「登録しなくてよかった」などの声があふれる。
セブンペイは、銀行口座やクレジットカードから電子マネーをアプリにチャージした上で、スマホの画面にバーコードやQRコードを表示させ、レジで読み取ってもらうことで決済ができる仕組みだ。今回はチャージに必要なパスワードが勝手に変更され、第三者のセブンペイにチャージされた電子マネーが不正に使われたとみられる。
2段階認証とは、パスワードを登録したり変更したりするとき、あらかじめ利用者が登録した電話番号宛てにショートメールが送信され、そこに記載されているURLにアクセスすることで初めて登録や変更が可能になる仕組み。登録や変更を試みている人と、その電話番号を使っている人が同一であることをチェックできる。
最近のネット上のサービスでは当たり前になってきているが、セブンペイでは導入されていない。一度登録したパスワードを再設定した際には、登録したメールアドレスにパスワードの変更を伝えるメールが自動送信されるサービスも多いが、その機能もないという。
セブンペイの利用には、既存のセブン&アイのサービスと共通の「7iD」を用いる。問題はこの7iDの仕様。2段階認証もパスワード変更の通知機能もないため、登録時とは違う端末やメールアドレスを使ってパスワード変更ができる。
そのため、悪意を持った第三者に登録済みのメールアドレスと電話番号を入手されてしまうと、利用者が知らないうちにパスワードを変更され、乗っ取られてしまうおそれがある。特にiPhoneなど「iOS」の場合は、再設定時に生年月日を入力する必要もないため、より危険性が高いという。