まあ突貫工事で納期に間に合わせで作ればそういうこともあるでしょう。
アジャイルとかスピード感のある開発ってのは良いけど、さすがにクレジットカード絡みでは設計の検討時間が足りなかったのではと。
今回思ったのは、このセキュリティの悪い設計を早速悪用されていたのだが、あれって内部犯行がかなり有効だなぁと思った。
もちろん開発現場で顧客情報なんて触れることはないだろうが、開発にかかわってる人間ならば、設計の段階で雑な実装になってるのがわかってしまうので、特に今回みたいな簡単な仕様だったら一切の資料を持ち出せなくとも記憶だけで事前に準備するには十分だろう。

どこかのクラウドの事例の発表とかで、少人数で内製がーなんてしれっと出しているが、当然あの下には大量のSIピラミッドが支えているわけなので、もしも内部犯行でも特定なんて到底難しいだろう。