日本在行動支付的導入相當積極,同時日本的大型通路也紛紛推出屬於自己的行動支付平台,不過最近日本 7-Eleven 的行動支付 7Pay 卻出了大包,駭客發現了 7Pay 的漏洞,藉此向 900 位消費者帳戶竊取達 5,500 萬日幣的金額,日本 7-Eleven 發現問題後已經在 7 月 3 日緊急關閉 7Pay 服務。當前日本警方逮捕兩位利用此次漏洞購買大量電子菸的 20 歲中國籍男子,兩人向日本警方坦承是受到他人指示行動,其中一位表示有人告知有一份外快,另一位則是透過微信與疑似事件主犯團體聯繫,日本警方懷疑背後可能有國際性犯罪組織涉入。
7Pay 是日本 7-Eleven 旗下行動支付服務
此次的事件發生在 7 月 1 日, 7Pay 的支付方式是透過手機螢幕掃碼進行,而此次的漏洞可說是相當低級的錯誤,起因在於 7Pay 的重制密碼功能並沒有進一步的安全保護機制,只要知道 7Pay 用戶的帳號、出生年月日與註冊信箱都可以申請並進行密碼重制,同時還可指定將重制認證信寄送到非註冊信箱,更瞎的是即便沒有輸入正確的出生年月日,支付系統竟然將 2019 年 1 月 1 日作為系統預設,等同只要知道帳戶與註冊信箱就可竄改密碼,而事件的犯人就是利用這個設計的漏洞,藉由自動化軟體將大量帳戶的密碼重制並竊取金額。
日本 7-Eleven 已經允諾將會賠償消費者損失,當前 7Pay 除暫停服務外,也停止新帳戶申請。
新聞來源: ZDNet , The Verge , The Japan Times
8 則回應