站长之家(ChinaZ.com) 7月5日 消息:7 月 1 日,7- 11 日本公司推出了手机支付应用7pay,尴尬的是,这款应用存在严重的安全漏洞导致客户账户遭黑客盗刷,约 900 名客户共损失约 51 万美元。
据zdnet报道,7pay的支付功能跟国内的支付宝和微信付款码支付很相似,该APP绑定了可的信用卡或者借记卡,顾客只要在7- 11 收银台处出示条形码让收银员扫描就能直接结账扣款。问题是这款应用的密码重置功能存在严重的漏洞,任何人都可以申请重置账号密码,并发送到申请者填写的邮件地址。
也就是,黑客只需要知道7pay用户的电子邮件地址、出生日期和电话号码信息,在密码重置时选择允许将重置链接发送到第三方邮件地址即可修改,无需串改HTTP请求就能实现。
此外,根据雅虎日本的一份报告显示,如果用户注册7pay没有输入出生日期,该应用将把出生日期默认设置为 2019 年 1 月 1 日,这让黑客更容易成功攻击。
目前,7- 11 方面已经证实,在两天内,黑客攻击了 900 个账户,并承诺赔偿遭黑客攻击的7pay用户。此外,7pay已经于 7 月 3 日停止服务,避免带来更多损失。
值得一提的是,日本当地媒体昨天报道称,东京警方逮捕了两名 20 多岁的中国男子,他们试图用另一个人的7pay账户购买香烟。目前尚不确定这两名嫌犯是否为攻击7pay账户的幕后黑手。