最新手機文章

Image credit:

日本 7-Eleven 的电子钱包 App 发生离谱安全漏洞,顾客合计损失 5,500 万日元

7pay 软件上架两天就匆匆下架了。

Andy Yang
2019 年 7 月 7 日, 下午 02:15

日本 7-Eleven 的电子钱包软件「7pay」仅仅上线两天,就不得不因为一个夸张的安全失误而下架了。在官方声明中,该公司表示不法人士一共破解了约 900 位受害者的帐户,并且在 7 月 1 日上线至 7 月 3 日紧急下线之间,总计通过这些帐户一共消费了 5,500 万日元(约 350 万人民币)。

到底是什么厉害的漏洞被骇客利用了呢?据 ZDNet 的报道,原来问题出在忘记密码时的取回操作上。虽然取回密码时系统会要求要你输入申办时的电邮信箱、生日和电话号码,但很诡异的是重设密码的链接寄到什么信箱,是可以自由选填的,而不是自动寄到申办时的那一个。更甚者,在申办时系统会自动以「2019 年 1 月 1 日」作为预设生日,进一步降低猜测的难度。这意味着只要取得一个人的电邮信箱,再通过过去泄漏的个资或社交圈上注册的信息,就不难让系统寄送密码更改信件到不法者指定的信箱了。

日本 7-Eleven 表示会全面赔偿顾客的损失,而日本警方已经逮捕了两名试图以窃取的 7pay ID 付款的中国籍人士。虽然调查还在进行中,但警方相信整起案件背后是有一个国际组织在运作的。日本经济产业省认为 7-Eleven 未能遵守资料安全的规范,并且要求在加强安全措施前,不得再次将 App 上架,只是已经发生了这样的事件后,还能不能挽回消费者的信心,就又是另一回事了...