日本一直積極引入電子支付服務，其中 7-Eleven 最近推出了 7pay 電子錢包﹐為在 7-Eleven 帶來便利，但是最近卻出現了 7pay 電子錢包帳號被盜刷的事件。

7&i 控股在 7 月 4 日於官網公佈事件發生經過，他們 7 月 2 日 7App 上線的隔日接到關於 7pay 被盜刷事件的第一次回報，官方進行檢查之後發現異常行為，結果先後停止綁定信用卡和預付卡增值。負責提供服務的 7pay 公司召開記者會提供更多資訊，宣佈被盜用的帳號數字有 900 個，損失金額約 5500 萬日圓，官方決定凍結疑似遭盜用的 7Pay 帳號、禁止日本以外的 IP 位址登入。小林強亦在記者會真誠道歉，並承諾賠償，但被問及 7pay 為何沒有雙重認證，小林強卻以疑惑的表情回應。

另一方面，日本警方拘捕兩位張姓和王姓男子，他們在 7-Eleven 便利店以盜用了的 7pay 帳號購買 146 條電子煙煙彈，被盜帳號用戶在通訊店員之後，店員通知警方，張姓和王姓疑犯在回店取貨的時候被捕，被捕後坦承是受他人指示行動。

[the_ad_placement id=”ad2″]

7pay 被揭大量安全漏洞，容易被不法者利用

除了沒有二步驗證之外，7pay 在註冊和密碼重置手續有很大的漏洞，有日本開發者 Hiromitsu Takagi 發現，如果你在註冊 7pay 的時候如沒有輸入出生日期，出生日期會被設定為 2019 年 1 月 1 日，後來 @j416dy 回應指 iOS 版不像 Android 版般，在註冊的時候無需設定居住地、生日和性別。

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019

改行があると退会できないのも再現した。 pic.twitter.com/gg1z4TshpX

— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019

至於 7pay 的密碼重置介面，開發者發現只需用戶的出生日期、帳號電郵以及「重疊密碼電郵」，就可以透過「忘記密碼」重置 7pay 密碼。於是不法份子可以密碼重設方面入手，以預設的 2019 年 1 月 1 日生日、7pay 的帳號電郵，以及一個可以與帳號電郵完全不同的電郵地址，重設密碼，令帳號被不法份子騎劫。

[the_ad_placement id=”ad2″]