在黑客劫持他們的7pay應(yīng)用賬戶并以他們的名義提出非法指控之后,7-Eleven Japan的大約900名客戶已經(jīng)損失了5500萬日元(51萬美元)的集體。該事件是由于7月1日星期一7-Eleven日本在該國推出的公司7pay移動(dòng)支付應(yīng)用程序設(shè)計(jì)中令人震驚的安全失誤造成的。7pay移動(dòng)應(yīng)用程序旨在當(dāng)客戶到達(dá)7-Eleven收銀臺(tái)時(shí),在手機(jī)屏幕上顯示條形碼。收銀員掃描條形碼,并將購買的商品記入用戶的7pay應(yīng)用程序以及已保存在帳戶中的客戶的信用卡或借記卡。
然而,在令人難以置信的事件轉(zhuǎn)變中,該應(yīng)用程序包含密碼重置功能,其設(shè)計(jì)非常糟糕。它允許任何人為其他人的帳戶請(qǐng)求重置密碼,但將密碼重置鏈接發(fā)送到他們的電子郵件地址,而不是合法的帳戶所有者。
黑客只需要知道7pay用戶的電子郵件地址,出生日期和電話號(hào)碼。密碼重置部分中的另一個(gè)字段允許黑客請(qǐng)求將密碼重置鏈接發(fā)送到第三方電子郵件地址(在黑客的控制下),無需挖掘應(yīng)用程序的代碼或篡改HTTP請(qǐng)求,如大多數(shù)這些黑客都涉及到。
此外,根據(jù)雅虎日本的一份報(bào)告,如果用戶沒有輸入他們的出生日期,該應(yīng)用程序?qū)⑹褂?019年1月1日的默認(rèn)值,使一些攻擊更容易。
由于有大量關(guān)于日本用戶的數(shù)據(jù)存在于互聯(lián)網(wǎng)上的大量過去的漏洞,黑客只需要編譯它并自動(dòng)化攻擊。
在今天早些時(shí)候發(fā)布的一份新聞稿中,該公司在過去幾天發(fā)布了一份驗(yàn)尸報(bào)告,承認(rèn)在兩天內(nèi)黑客入侵了近900個(gè)7pay賬戶,非法收費(fèi)價(jià)值5500萬日元(51萬美元)。
該公司承諾賠償所有在黑客攻擊中失去資金的用戶。
今天早些時(shí)候,當(dāng)?shù)孛襟w報(bào)道說,東京警方逮捕了兩名20多歲的中國男子,他們?cè)噲D用另一個(gè)人的7pay賬戶購買香煙。目前還不清楚這兩名嫌犯是否是7次襲擊事件背后的嫌犯。