Um Aplicativo de Pagamento Mal Projetado Causa US $500 Mil em Danos aos Clientes Japoneses do 7-Eleven

Como todos sabemos, o Japão é frequentemente um dos primeiros países a adotar uma nova peça de tecnologia e implementá-la na vida cotidiana das pessoas. À luz de tudo isso, muitos de vocês provavelmente ficarão surpresos ao saber que a Terra do Sol Nascente está seriamente atrasada em um aspecto particular da vida no século 21 - o pagamento sem dinheiro.

Parece estranho a princípio, mas as baixas taxas de criminalidade e o amor dos japoneses por notas e moedas significam que em 2015, mais de 80% de todos os pagamentos no Japão eram processados com dinheiro. Por outro lado, durante o mesmo período, a taxa na China tradicionalmente conservadora ficou em cerca de 40% e, na Coréia do Sul, 89% de todos os pagamentos foram feitos com cartões bancários ou aplicativos e serviços de pagamento. O governo japonês e varejistas individuais como o 7-Eleven estão determinados a mudar as coisas.

A filial japonesa da cadeia de lojas de conveniência decidiu lançar seu próprio aplicativo, que permitiria aos usuários pagar em cada uma das 21 mil lojas 7-Eleven do país. Previsivelmente, o nome do aplicativo é 7pay, e sua ideia é bastante simples. O usuário registra uma conta e fornece, entre outras coisas, o endereço de email e o número de telefone. Eles então anexam seu cartão bancário à conta e, toda vez que precisam pagar por mercadorias em uma loja 7-Eleven, eles lançam o aplicativo, que gera um código de barras. O código de barras é lido pelo caixa, o cartão do usuário é cobrado automaticamente e o pagamento é processado. Essa foi a ideia de qualquer maneira.

Um Mecanismo de Redefinição de Senha Muito Ruim Deixa os Usuários do 7pay Enfurecidos

O aplicativo 7pay foi lançado em 1º de julho e as pessoas começaram a reclamar quase imediatamente. Pouco tempo depois, descobriu-se que os desenvolvedores do aplicativo cometeram um erro que só pode ser descrito como imperdoável.

Como muitos de vocês provavelmente sabem, na maioria dos casos, para redefinir uma senha para uma conta online, o provedor de serviços envia um link para o endereço de e-mail associado à referida conta. Isso garante que apenas o proprietário da conta possa redefinir a senha.

A função de redefinição de senha do 7pay solicitou o número de telefone e a data de nascimento do usuário, além do endereço de e-mail, que parece uma abordagem mais segura. No entanto, permitiu que o link de redefinição de senha fosse enviado para um endereço de email não associado à conta.

Em outras palavras, se você soubesse o endereço de e-mail, o número de telefone e a data de nascimento de um usuário 7pay, teria a opção de enviar o link de redefinição de senha para sua própria caixa de entrada. Após redefinir a senha, você poderá ir a qualquer loja 7-Eleven no Japão e fazer algumas compras às custas da vítima. Para piorar as coisas, o aplicativo decidiu que todos os usuários que não haviam entrado em suas datas de nascimento nasceram em 1º de janeiro de 2019, o que tornou o trabalho dos invasores ainda mais fácil.

Os Bandidos não Precisavam de um Segundo Convite

Não demorou muito para que os cibercriminosos encontrassem e explorassem a falha de segurança. Em 2 de julho, o 7-Eleven Japan recebeu o primeiro relatório de um usuário que havia visto cobranças não autorizadas no cartão bancário. No dia seguinte, a gigante das lojas de conveniência percebeu qual era o problema e imediatamente desativou o aplicativo 7pay, mas, naquele momento, aproximadamente 900 usuários já haviam visto cerca de 55 milhões de ienes japoneses ou pouco mais de US $ 500 mil sendo desviados de suas contas bancárias.

Na semana passada, o ZDNet informou que dois indivíduos chineses foram presos em Tóquio depois de tentar pagar por alguns cigarros eletrônicos com uma conta 7pay comprometida, embora ainda não esteja claro se eles são os únicos responsáveis pelo ataque. O 7-Eleven prometeu que conduzirá uma investigação completa sobre o que deu errado e disse que todas as vítimas receberão seu dinheiro de volta, o que é a única coisa certa a fazer neste momento.

No final, as vítimas inocentes não devem sofrer danos duradouros, e só podemos esperar que pelo menos alguns dos bandidos obtenham o que merecem. Nada vai mudar o fato, no entanto, de que o aplicativo 7pay não deveria estar nos dispositivos dos usuários com uma brecha na segurança esperando para ser explorada.