日本一直積極引入電子支付服務,其中 7-Eleven 最近推出了 7pay 電子錢包﹐為在 7-Eleven 帶來便利,但是最近卻出現了 7pay 電子錢包帳號被盜刷的事件。
7&i 控股在 7 月 4 日於官網公佈事件發生經過,他們 7 月 2 日 7App 上線的隔日接到關於 7pay 被盜刷事件的第一次回報,官方進行檢查之後發現異常行為,結果先後停止綁定信用卡和預付卡增值。負責提供服務的 7pay 公司召開記者會提供更多資訊,宣佈被盜用的帳號數字有 900 個,損失金額約 5500 萬日圓,官方決定凍結疑似遭盜用的 7Pay 帳號、禁止日本以外的 IP 位址登入。小林強亦在記者會真誠道歉,並承諾賠償,但被問及 7pay 為何沒有雙重認證,小林強卻以疑惑的表情回應。
另一方面,日本警方拘捕兩位張姓和王姓男子,他們在 7-Eleven 便利店以盜用了的 7pay 帳號購買 146 條電子煙煙彈,被盜帳號用戶在通訊店員之後,店員通知警方,張姓和王姓疑犯在回店取貨的時候被捕,被捕後坦承是受他人指示行動。
[the_ad_placement id=”ad2″]
7pay 被揭大量安全漏洞,容易被不法者利用
除了沒有二步驗證之外,7pay 在註冊和密碼重置手續有很大的漏洞,有日本開發者 Hiromitsu Takagi 發現,如果你在註冊 7pay 的時候如沒有輸入出生日期,出生日期會被設定為 2019 年 1 月 1 日,後來 @j416dy 回應指 iOS 版不像 Android 版般,在註冊的時候無需設定居住地、生日和性別。
至於 7pay 的密碼重置介面,開發者發現只需用戶的出生日期、帳號電郵以及「重疊密碼電郵」,就可以透過「忘記密碼」重置 7pay 密碼。於是不法份子可以密碼重設方面入手,以預設的 2019 年 1 月 1 日生日、7pay 的帳號電郵,以及一個可以與帳號電郵完全不同的電郵地址,重設密碼,令帳號被不法份子騎劫。
[the_ad_placement id=”ad2″]