吳明宜日本超商連鎖7-Eleven的行動支付App-7pay上周才剛上路就傳出設計不良使將近900用戶遭盜刷金額超過5,500萬日幣。7-Eleven已緊急將該服務關閉。
7pay App 可產生條碼,消費者結帳時出示手機讓店員刷一下 App 即可完成付款,並由 App 綁定的信用卡或現金卡扣款。本月 1 日才於日本正式釋出隔天就有用戶抱怨信用卡被盜刷。 7 pay 的 7iD 帳號只需輸入用戶生日、手機號碼及 email 信箱即可,而由於 7 pay 並未驗證用戶 email 信箱,駭客只要輸入自己的信箱,即可攔截密碼重設信件盜用帳號,更改用戶密碼,並且存取用戶信用卡等個資。
生日、手機號碼都是相當容易從網路上搜尋到個資。然而更扯的是,若用戶當初註冊 7pay 時未輸入生日,則系統會預設以 2019 年 1 月 1 日為其生日,使駭客根本連生日也用不著搜尋。
就在上路短短 3 天就有為數眾多的用戶 7pay App 及 7iD 帳號被駭。根據統計,有將近 900 人信用卡或現金卡被盜刷金額超過 5,500 萬日幣(將近 1,600 萬台幣)。日本 7-Eleven 周三於網站發出公告緊急暫停卡片支付功能及新會員註冊。 7-Eleven 並表示會賠償受害者所有損失金額,也設立服務電話提供善後支援。
日本時報報導,日本經濟產業省已追究日本 7-Eleven 未能採取足夠的安全措施防範帳號竊取,要求其改進。上周五,日本警方也逮捕二名中國籍嫌犯,其中一人利用偷來的帳號及 7pay App 在 7-Eleven 店家購買價值 73 萬日幣、高達 146 支電子煙,日本警方正在調查兩人是否涉案。
日本行動支付極其便利,另一超商龍頭全家超商也推出了類似的行動支付服務 FamiPay 。