最新手機文章

Image credit:

日本 7-Eleven 的電子錢包 App 發生離譜安全漏洞,顧客合計損失 5,500 萬日元

7pay App 上架兩天就匆匆下架了。

Andy Yang
2019 年 7 月 7 日, 下午 02:15
分享次數
分享
分享
Twitter 發表
line
電郵
儲存

日本 7-Eleven 的電子錢包 App「7pay」僅僅上線兩天,就不得不因為一個誇張的安全失誤而下架了。在官方聲明中,該公司表示不法人士一共破解了約 900 位受害者的帳戶,並且在 7 月 1 日上線至 7 月 3 日緊急下線之間,總計透過這些帳戶一共消費了 5,500 萬日元(約 1,580 萬台幣 / 395 萬港幣)。

到底是什麼厲害的漏洞被駭客利用了呢?據 ZDNet 的報導,原來問題出在忘記密碼時的取回操作上。雖然取回密碼時系統會要求要你輸入申辦時的電子郵件信箱、生日和電話號碼,但很詭異的是重設密碼的連結寄到什麼信箱,是可以自由選填的,而不是自動寄到申辦時的那一個。更甚者,在申辦時系統會自動以「2019 年 1 月 1 日」做為預設生日,進一步降低猜測的難度。這意味著只要取得一個人的電子郵件信箱,再透過過去洩漏的個資或社交圈上註冊的資訊,就不難讓系統寄送密碼更改信件到不法者指定的信箱了。

日本 7-Eleven 表示會全面賠償顧客的損失,而日本警方已經逮捕了兩名試圖以竊取的 7pay ID 付款的中國藉人士。雖然調查還在進行中,但警方相信整起案件背後是有一個國際組織在運作的。日本經濟產業省認為 7-Eleven 未能遵守資料安全的規範,並且要求在加強安全措施前,不得再次將 App 上架,只是已經發生了這樣的事件後,還能不能取回消費者的信心,就又是另一回事了...