在爆發多名用戶帳號遭駭導致銀行帳號被盜刷事件後,7-Eleven已經緊急暫停7pay的會員申請機制,以及信用卡和現金卡支付功能。

日本7-Eleven本月才剛推出的支付app 7pay傳駭客駭入漏洞,將近900名消費者帳號被盜導致銀行帳號盜刷,損失高達5500萬日幣(約1600萬台幣)。

這項服務本周一(7月1日)才在日本推出。7pay app可以手機顯示條碼,讓消費者在櫃台付款時由店員以讀卡機讀取,消費金額則從信用卡或現金卡帳戶扣款,或是使用nanaco點數或折價卷支付。消費者的銀行帳戶等個資皆存在7iD帳號中。

本周三有多名日本消費者透過推特表示自己的7 pay密碼遭人竄改後信用卡遭人盜刷。另一名用戶則表示被盜刷金額達6萬日幣。7-Eleven已經緊急暫停7pay的會員申請機制,以及信用卡和現金卡支付功能。日本CNET報導,截至7月4日早上6:00止,已有約900人受害,損失金額約為5500萬日幣。

問題出在7pay app設計極不嚴謹的密碼重設功能上。消費者需要重設密碼時,只要輸入生日、手機號碼及任一電子郵件信箱,系統即會將重設郵件寄到該信箱內,並未進行電子郵件信箱的驗證。網路上稍微搜尋一下,即可蒐集到特定用戶的生日及手機號碼。駭客只要輸入自己的信箱就能攔截該信件,而代用戶重設密碼,進而存取帳號中的個資。

更離譜的是,日本Yahoo報導,如果消費者登錄帳號時未輸入生日,則系統會預設其生日為2019年1月1日,使駭客更容易得逞。

日本產經新聞報導,日本警方已經在7月4日逮捕2名20多歲的中國籍嫌犯,當時他們正在新宿一家7-Eleven中,以7pay購買價值20萬日圓的電子煙引發懷疑。警方正在調查他們是否涉入本案。 


Advertisement

更多 iThome相關內容