日本 7-Eleven 的電子錢包 App 發生離譜安全漏洞，顧客合計損失 5,500 萬日元

日本 7-Eleven 的電子錢包 App「7pay」僅僅上線兩天，就不得不因為一個誇張的安全失誤而下架了。在官方聲明中，該公司表示不法人士一共破解了約 900 位受害者的帳戶，並且在 7 月 1 日上線至 7 月 3 日緊急下線之間，總計透過這些帳戶一共消費了 5,500 萬日元（約 1,580 萬台幣 / 395 萬港幣）。

到底是什麼厲害的漏洞被駭客利用了呢？據 ZDNet 的報導，原來問題出在忘記密碼時的取回操作上。雖然取回密碼時系統會要求要你輸入申辦時的電子郵件信箱、生日和電話號碼，但很詭異的是重設密碼的連結寄到什麼信箱，是可以自由選填的，而不是自動寄到申辦時的那一個。更甚者，在申辦時系統會自動以「2019 年 1 月 1 日」做為預設生日，進一步降低猜測的難度。這意味著只要取得一個人的電子郵件信箱，再透過過去洩漏的個資或社交圈上註冊的資訊，就不難讓系統寄送密碼更改信件到不法者指定的信箱了。

日本 7-Eleven 表示會全面賠償顧客的損失，而日本警方已經逮捕了兩名試圖以竊取的 7pay ID 付款的中國藉人士。雖然調查還在進行中，但警方相信整起案件背後是有一個國際組織在運作的。日本經濟產業省認為 7-Eleven 未能遵守資料安全的規範，並且要求在加強安全措施前，不得再次將 App 上架，只是已經發生了這樣的事件後，還能不能取回消費者的信心，就又是另一回事了...

來源: 7-Eleven (日文), ZDNet

經由: Engadget