日本7-Eleven行動支付App遭駭 近千用戶遭盜刷5,500萬日幣
7pay App可產生條碼,消費者結帳時出示手機讓店員刷一下App即可完成付款,並由App綁定的信用卡或現金卡扣款。本月1日才於日本正式釋出隔天就有用戶抱怨信用卡被盜刷。7 pay的7iD帳號只需輸入用戶生日、手機號碼及email信箱即可,而由於7 pay並未驗證用戶email信箱,駭客只要輸入自己的信箱,即可攔截密碼重設信件盜用帳號,更改用戶密碼,並且存取用戶信用卡等個資。
生日、手機號碼都是相當容易從網路上搜尋到個資。然而更扯的是,若用戶當初註冊7pay時未輸入生日,則系統會預設以2019年1月1日為其生日,使駭客根本連生日也用不著搜尋。
就在上路短短3天就有為數眾多的用戶7pay App及7iD帳號被駭。根據統計,有將近900人信用卡或現金卡被盜刷金額超過5,500萬日幣(將近1,600萬台幣)。日本7-Eleven周三於網站發出公告緊急暫停卡片支付功能及新會員註冊。7-Eleven並表示會賠償受害者所有損失金額,也設立服務電話提供善後支援。
日本時報報導,日本經濟產業省已追究日本7-Eleven未能採取足夠的安全措施防範帳號竊取,要求其改進。上周五,日本警方也逮捕二名中國籍嫌犯,其中一人利用偷來的帳號及7pay App在7-Eleven店家購買價值73萬日幣、高達146支電子煙,日本警方正在調查兩人是否涉案。
日本行動支付極其便利,另一超商龍頭全家超商也推出了類似的行動支付服務FamiPay。