設計糟糕的付款應用程序會導致日本7-Eleven客戶損失5萬美元

7-Eleven Payment App Security Flaw

眾所周知,日本通常是最早接受新技術並在人們日常生活中實施的國家之一。鑑於這一切,你們中的許多人可能會驚訝地發現,在21世紀生活的一個特定方面 - 無現金支付方面,旭日之地嚴重滯後。

起初聽起來確實很奇怪,但是低犯罪率和日本人對鈔票和硬幣的熱愛意味著, 在2015年 ,日本超過80%的付款都是用現金處理的。相比之下,在同一時期,傳統上保守的中國的比率約為40%,在韓國,所有支付的89%都是使用銀行卡或支付應用程序和服務支付的。像7-Eleven這樣的日本政府和個體零售商決心改變一切。

便利店連鎖店的日本分公司決定推出自己的應用程序,允許用戶支付全國2.1萬7-Eleven商店的每一個。可以預見,應用程序的名稱是7pay,它的想法很簡單。用戶註冊帳戶並提供其電子郵件地址和電話號碼等。然後他們將銀行卡附加到帳戶,每當他們需要在7-Eleven商店支付貨款時,他們就會啟動應用程序,生成條形碼。條形碼由收銀員掃描,用戶的卡自動收費,並處理付款。無論如何,那是個主意。

一個糟糕的密碼重置機制讓7pay用戶感到憤怒

7pay應用程序於7月1日推出,人們開始幾乎立即抱怨它。此後不久,事實證明該應用程序的開發人員犯了一個只能被描述為不可原諒的錯誤。

在大多數情況下,許多人可能知道,為了重置在線帳戶的密碼,服務提供商會發送指向與該帳戶關聯的電子郵件地址的鏈接。這可確保只有帳戶所有者才能重置密碼。

除了電子郵件地址之外,7pay的密碼重置功能還要求用戶的電話號碼和出生日期,這聽起來更安全。然而,它允許將密碼重置鏈接發送到與該帳戶無關的電子郵件地址。

換句話說,如果您知道7pay用戶的電子郵件地址,電話號碼和出生日期,您可以選擇將密碼重置鏈接發送到您自己的收件箱。重置密碼後,您可以前往日本的任何7-Eleven商店,享受一些購物,費用由受害者承擔。更糟糕的是,該應用程序決定所有未輸入出生日期的用戶出生於2019年1月1日,這使得攻擊者的工作變得更加容易。

騙子不需要第二次邀請

沒過多久,網絡犯罪分子就發現並利用了安全漏洞。 7月2日,7-Eleven Japan收到了一位用戶的第一份報告,該用戶的銀行卡未經授權收費. 在第二天,便利店巨頭意識到問題是什麼,並立即禁用7pay應用程序,但到那時,大約900名用戶已經看到大約5500萬日元或剛剛超過50萬美元被從他們的銀行帳戶中抽走。

上週, ZDNet報導稱 ,兩名中國人在試圖支付7Pay賬戶受損的電子煙後,在東京被捕,但目前尚不清楚他們是否是唯一負責此次襲擊的人。 7-Eleven承諾將對出現的問題進行徹底調查,並表示所有受害者都會收回他們的錢,這是目前唯一正確的做法。

最後,無辜的受害者不應該遭受任何長期的損害,我們只能希望至少有一些騙子得到他們應得的。然而,沒有任何東西會改變這樣的事實,即7pay應用程序不應該出現在用戶的設備上,因為這樣一個有著巨大安全漏洞等待被利用。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
5 + 10是什麼?