日本7-Eleven手機支付新app被駭，近900名用戶損失5500萬日幣

日本7-Eleven本月才剛推出的支付app 7pay傳駭客駭入漏洞，將近900名消費者帳號被盜導致銀行帳號盜刷，損失高達5500萬日幣（約1600萬台幣）。

這項服務本周一（7月1日）才在日本推出。7pay app可以手機顯示條碼，讓消費者在櫃台付款時由店員以讀卡機讀取，消費金額則從信用卡或現金卡帳戶扣款，或是使用nanaco點數或折價卷支付。消費者的銀行帳戶等個資皆存在7iD帳號中。

本周三有多名日本消費者透過推特表示自己的7 pay密碼遭人竄改後信用卡遭人盜刷。另一名用戶則表示被盜刷金額達6萬日幣。7-Eleven已經緊急暫停7pay的會員申請機制，以及信用卡和現金卡支付功能。日本CNET報導，截至7月4日早上6:00止，已有約900人受害，損失金額約為5500萬日幣。

問題出在7pay app設計極不嚴謹的密碼重設功能上。消費者需要重設密碼時，只要輸入生日、手機號碼及任一電子郵件信箱，系統即會將重設郵件寄到該信箱內，並未進行電子郵件信箱的驗證。網路上稍微搜尋一下，即可蒐集到特定用戶的生日及手機號碼。駭客只要輸入自己的信箱就能攔截該信件，而代用戶重設密碼，進而存取帳號中的個資。

更離譜的是，日本Yahoo報導，如果消費者登錄帳號時未輸入生日，則系統會預設其生日為2019年1月1日，使駭客更容易得逞。

日本產經新聞報導，日本警方已經在7月4日逮捕2名20多歲的中國籍嫌犯，當時他們正在新宿一家7-Eleven中，以7pay購買價值20萬日圓的電子煙引發懷疑。警方正在調查他們是否涉入本案。