IT業界資訊媒體

【7 到盡頭便是嬲】7pay 付款程式輕鬆盜用 社長原來未聽過 2SV ?

日本 7-Eleven 集團啱啱喺 7 月 1 日推出嘅付款應用程式 7pay,唔夠三日就要停止服務,因為有用家發現帳戶內嘅錢俾不法分子盜用,調查後 7pay 社長小林強走出嚟開記招道歉,兼且公佈今次安全事故有幾多人受害。經點算後,小林強指受害人有 900 個,總金錢損失就高達 5500 萬日圓(約 400 萬港幣)。

7pay 呢隻手機付款 app,其實用法同 Alipay 支付寶差唔多,用家買嘢時打開隻 app,向收銀員出示帳戶嘅 barcode,用感應器一掃就成功付款。用家除咗入錢增值,亦可以綁定信用卡或簽帳卡。

聽落啲功能好正路啫,究竟問題出喺邊呢?原來系統重設密碼嘅方法真係漏洞百出。如果要求重設密碼,用家需要輸入用嚟登記嘅電郵地址、出生年月日同埋電話號碼,之後系統就可以將重設密碼嘅連結,發送去新輸入嘅電郵地址⋯⋯無錯,你真係無睇錯,重設密碼嘅連結竟然容許發送去新電郵地址!所以不法份子只要提供到上面三項資料,就可以暗中幫用家重設密碼,然後盜用對方帳戶消費。
而另一項低能設定,就係當用家登記帳戶時,如果唔提供出生年月日,系統就會幫用家預設為 2019 年 1 月 1 日,變相減低咗黑客盜用帳戶嘅難度,真係唔知邊個天才諗出嚟!

正所謂事出必有因,睇下呢段節錄自 7pay 社長小林強開記招時面對記者提問嘅反應,應該都理解到點會有咁嘅設計。當時有位女記者問到點解唔用二段階認證(Two Step Verification),日文發音係 nidankai ninsho),社長竟然表現得一臉茫然,仲細細聲重複講咗呢個名詞一次,似乎腦入面無記錄過呢個連一般消費者都識嘅字眼,咁你而家明晒啦?

資料來源:https://bit.ly/2LF5W13