在黑客劫持他們的7pay應(yīng)用賬戶并以他們的名義提出非法指控之后，7-Eleven Japan的大約900名客戶已經(jīng)損失了5500萬日元(51萬美元)的集體。該事件是由于7月1日星期一7-Eleven日本在該國推出的公司7pay移動(dòng)支付應(yīng)用程序設(shè)計(jì)中令人震驚的安全失誤造成的。7pay移動(dòng)應(yīng)用程序旨在當(dāng)客戶到達(dá)7-Eleven收銀臺(tái)時(shí)，在手機(jī)屏幕上顯示條形碼。收銀員掃描條形碼，并將購買的商品記入用戶的7pay應(yīng)用程序以及已保存在帳戶中的客戶的信用卡或借記卡。

然而，在令人難以置信的事件轉(zhuǎn)變中，該應(yīng)用程序包含密碼重置功能，其設(shè)計(jì)非常糟糕。它允許任何人為其他人的帳戶請(qǐng)求重置密碼，但將密碼重置鏈接發(fā)送到他們的電子郵件地址，而不是合法的帳戶所有者。

黑客只需要知道7pay用戶的電子郵件地址，出生日期和電話號(hào)碼。密碼重置部分中的另一個(gè)字段允許黑客請(qǐng)求將密碼重置鏈接發(fā)送到第三方電子郵件地址(在黑客的控制下)，無需挖掘應(yīng)用程序的代碼或篡改HTTP請(qǐng)求，如大多數(shù)這些黑客都涉及到。

此外，根據(jù)雅虎日本的一份報(bào)告，如果用戶沒有輸入他們的出生日期，該應(yīng)用程序?qū)⑹褂?019年1月1日的默認(rèn)值，使一些攻擊更容易。

由于有大量關(guān)于日本用戶的數(shù)據(jù)存在于互聯(lián)網(wǎng)上的大量過去的漏洞，黑客只需要編譯它并自動(dòng)化攻擊。

在今天早些時(shí)候發(fā)布的一份新聞稿中，該公司在過去幾天發(fā)布了一份驗(yàn)尸報(bào)告，承認(rèn)在兩天內(nèi)黑客入侵了近900個(gè)7pay賬戶，非法收費(fèi)價(jià)值5500萬日元(51萬美元)。

該公司承諾賠償所有在黑客攻擊中失去資金的用戶。

今天早些時(shí)候，當(dāng)?shù)孛襟w報(bào)道說，東京警方逮捕了兩名20多歲的中國男子，他們?cè)噲D用另一個(gè)人的7pay賬戶購買香煙。目前還不清楚這兩名嫌犯是否是7次襲擊事件背后的嫌犯。