设计糟糕的付款应用程序会导致日本7-Eleven客户损失5万美元

7-Eleven Payment App Security Flaw

众所周知,日本通常是最早接受新技术并在人们日常生活中实施的国家之一。鉴于这一切,你们中的许多人可能会惊讶地发现,在21世纪生活的一个特定方面 - 无现金支付方面,旭日之地严重滞后。

起初听起来确实很奇怪,但是低犯罪率和日本人对钞票和硬币的热爱意味着, 在2015年 ,日本超过80%的付款都是用现金处理的。相比之下,在同一时期,传统上保守的中国的比率约为40%,在韩国,所有支付的89%都是使用银行卡或支付应用程序和服务支付的。像7-Eleven这样的日本政府和个体零售商决心改变一切。

便利店连锁店的日本分公司决定推出自己的应用程序,允许用户支付全国2.1万7-Eleven商店的每一个。可以预见,应用程序的名称是7pay,它的想法很简单。用户注册帐户并提供其电子邮件地址和电话号码等。然后他们将银行卡附加到帐户,每当他们需要在7-Eleven商店支付货款时,他们就会启动应用程序,生成条形码。条形码由收银员扫描,用户的卡自动收费,并处理付款。无论如何,那是个主意。

一个糟糕的密码重置机制让7pay用户感到愤怒

7pay应用程序于7月1日推出,人们开始几乎立即抱怨它。此后不久,事实证明该应用程序的开发人员犯了一个只能被描述为不可原谅的错误。

在大多数情况下,许多人可能知道,为了重置在线帐户的密码,服务提供商会发送指向与该帐户关联的电子邮件地址的链接。这可确保只有帐户所有者才能重置密码。

除了电子邮件地址之外,7pay的密码重置功能还要求用户的电话号码和出生日期,这听起来更安全。然而,它允许将密码重置链接发送到与该帐户无关的电子邮件地址。

换句话说,如果您知道7pay用户的电子邮件地址,电话号码和出生日期,您可以选择将密码重置链接发送到您自己的收件箱。重置密码后,您可以前往日本的任何7-Eleven商店,享受一些购物,费用由受害者承担。更糟糕的是,该应用程序决定所有未输入出生日期的用户出生于2019年1月1日,这使得攻击者的工作变得更加容易。

骗子不需要第二次邀请

没过多久,网络犯罪分子就发现并利用了安全漏洞。 7月2日,7-Eleven Japan收到了一位用户的第一份报告,该用户的银行卡未经授权收费. 在第二天,便利店巨头意识到问题是什么,并立即禁用7pay应用程序,但到那时,大约900名用户已经看到大约5500万日元或刚刚超过50万美元被从他们的银行帐户中抽走。

上周, ZDNet报道称 ,两名中国人在试图支付7Pay账户受损的电子烟后,在东京被捕,但目前尚不清楚他们是否是唯一负责此次袭击的人。 7-Eleven承诺将对出现的问题进行彻底调查,并表示所有受害者都会收回他们的钱,这是目前唯一正确的做法。

最后,无辜的受害者不应该遭受任何长期的损害,我们只能希望至少有一些骗子得到他们应得的。然而,没有任何东西会改变这样的事实,即7pay应用程序不应该出现在用户的设备上,因为这样一个有着巨大安全漏洞等待被利用。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
9 + 6是什么?