日本7Pay用戶遭竄改密碼並盜刷!密碼重設功能不嚴謹,缺乏驗證、居住地區、生日與性別,在Android版是必須,但iOS版卻是任意

密碼重設功能不嚴謹,缺乏驗證,日本7Pay用戶遭竄改密碼並盜刷

關於日本7-Eleven「7Pay」的重設密碼功能,因其身分驗證機制不夠嚴謹,導致已有數百用戶帳戶讓人盜用進而盜刷的事件,日前7&i控股(Seven & I Holding)在官方網站已發出公告,並表示從7Pay上線後隔日,就陸續收到用戶反應遭人盜刷的狀況。到底該App的身分驗證設計,出現了什麼樣嚴重的問題?成為各界都很關心的問題。

關於這起事件發生的原因,已經有許多日本民眾在網路上討論。例如,在7月3日,日本一名研究員Hiromitsu Takagi在Twitter上,就曾經指出7iD會員登入的相關問題。根據Hiromitsu Takagi的描述,在iOS系統開啟7 Pay App要註冊7iD會員時,一開始的介面上會有7iD(電子郵件信箱)、區住地區、生日與性別的欄位,但是,用戶只要輸入第一項的電子郵件信箱,在沒有輸入生日等選項的情形下,依然可以執行下一步,而且,系統還會自動預設以2019年1月1日作為生日,而這樣的機制在App上的會員資料介面也有說明。同時,在該App的忘記密碼介面上,僅要求輸入生日與7iD,並可輸入任意的電子郵件信箱,來接受寄送重設密碼信。因此,最後Hiromitsu Takagi退出了7iD會員,並在原因一欄指出安全性的問題。

對於7Pay App的註冊流程,是否可以不用輸入個人資料的問題,另一Twiiter帳號為@j416dy的用戶也對此回應,指出在Android版註冊時,用戶必須要設定居住地區、生日與性別,但iOS版卻是任意的。

從上述過程來看,對於這次7Pay密碼遭人竄改的問題,明顯出在7pay App設計極不嚴謹的密碼重設功能上,尤其是註冊時的用戶生日輸入,以及重設時的電子郵件信箱輸入,是否可能給予用戶太寬鬆的便利性,而忽略了安全。

更具體而言,引人關注的是,在會員更改密碼時,該系統是否沒有比對輸入的電子郵件,與7iD會員帳號的電子郵件是否相同?這種預設生日的機制,是否也降低了他人猜測的難度?更具爭議的是,重設會員密碼或註冊的過程,沒有兩階段驗證的機制,當重設輸入不同電子郵件信箱時,也沒有額外的驗證;而且,系統上線前是否沒有經過測試也引發質疑,這種第三人可以輕易重設密碼的問題,應該在測試階段就能發現,更何況這還是發生在一個提供支付交易的App上。

在7月3日,日本研究員Hiromitsu Takagi在Twitter上,指出iOS版7Pay App的問題,包括註冊時只要輸入電子信箱,而生日、性別與居住地等項目可以不用輸入,在進入7iD會員資料介面時,則會看到用戶未輸入生日資訊,將會預設為2019年1月1日,另外,在設定寄送重設密碼信的電子信箱時,可以不同於7iD帳戶的電子信箱,而且沒有額外的驗證機制,他並實作了整個流程。對於7Pay App的註冊流程,另一@j416dy網友也回應,指出用戶設定居住地區、生日與性別,在Android版是必須的,但iOS版卻是任意的。

若從網站的密碼重設機制來看,在7&i的OMNI7網站上,提供了用戶在忘記ID密碼時的因應方式,這裡其實分成兩種情境,一種是忘記會員ID,另一種是忘記密碼。例如,前者需要輸入會員的出生年月日、電話號碼與電子郵件信箱,就可以重新設定會員的密碼。

7&i控股已經對外發出重大公告,揭露近千7Pay會員遭盜刷

基本上,7Pay屬於「第三方支付」的電子錢包,使用前需要先加值,例如可用綁定的信用卡或Debit Card來儲值。對於這次事件,7&i控股在7月4日向外界說明,同時也在官方網站上公布事件發生經過,以及預估的事件影響範圍。

根據7&i控股的說明,他們是在7月2日,也就是7App上線的隔天,接到關於此事件的第一次回報,7月3日公司進行內部調查,結果顯示確實發現異常的行爲,因此設置緊急客服中心,並在7Pay主頁上發出公告,呼籲用戶注意帳號密碼的管理,同時,他們也立即停止了信用卡或Debit Card的轉帳儲值。

到了7月4日,在負責提供服務的7pay公司召開記者會後,也讓外界得知這次事件的更多資訊,包括他們凍結疑似遭盜用的7Pay帳號,並已經暫停App會員從綁定信用卡或Debit Card的轉帳儲值,以及各式儲值方式,同時在3日上午10點已經禁止海外IP位址登入7Pay,因為他們最初發現的7Pay會員遭盜刷案例都是在中國等海外。

同時,他們也揭露了事件影響範圍,在4日早上6點為止,估計遭到濫用的帳號數約900個,損失金額約5,500萬日圓(約新台幣1,600萬元),並表示將會補償所有受害用戶的損失。值得注意的是,一些日本媒體也同時比較當地的FamiPay與7Pay,甚至各支付App是否導入兩階段驗證。但針對未導入兩階段驗證的質疑,他們當時並無法回覆,後續僅指出7pay的設計導向,是以用戶體驗為優先。

由於這起事件已經影響廣大民眾支付的安全,最新傳出的消息是,在7月5日,日本經濟產業省的無現金推廣單位也嚴厲指出,7Pay應盡快找出原因並制定防範對策,並要避免再次發生類似的事件。而&i控股在召開記者會後的隔日也終於坦承,收到日本經濟產業省的提醒,7pay將比照其他業者的支付,導入兩階段驗證。

對於7pay這次離譜的表現,外界普遍認為該公司可能為了市場競爭,急於將服務推出上線,卻導致基本的安全機制設計都疏忽。但這不僅造成了實質損失,引起軒然大波,並可能讓消費者對他們失去信心,也成為了全球支付業者的負面教材。

無論如何,關於這次事件在短短兩三天內,就傳出數百起受害案例,這也再次提醒大眾,由於近年個資外洩的情況相當嚴重,而這些外洩的資訊可能就包含用戶的生日、電話與電子郵件,也就是說,駭客集團要取得這些資訊其實並不難。

日本 7-Eleven 行動支付 7Pay 系統大漏洞遭駭客入侵盜取 5,500 萬日幣,兩名中國籍跑腿男子被逮捕

日本在行動支付的導入相當積極,同時日本的大型通路也紛紛推出屬於自己的行動支付平台,不過最近日本 7-Eleven 的行動支付 7Pay 卻出了大包,駭客發現了 7Pay 的漏洞,藉此向 900 位消費者帳戶竊取達 5,500 萬日幣的金額,日本 7-Eleven 發現問題後已經在 7 月 3 日緊急關閉 7Pay 服務。當前日本警方逮捕兩位利用此次漏洞購買大量電子菸的 20 歲中國籍男子,兩人向日本警方坦承是受到他人指示行動,其中一位表示有人告知有一份外快,另一位則是透過微信與疑似事件主犯團體聯繫,日本警方懷疑背後可能有國際性犯罪組織涉入。

此次的事件發生在 7 月 1 日, 7Pay 的支付方式是透過手機螢幕掃碼進行,而此次的漏洞可說是相當低級的錯誤,起因在於 7Pay 的重制密碼功能並沒有進一步的安全保護機制,只要知道 7Pay 用戶的帳號、出生年月日與註冊信箱都可以申請並進行密碼重制,同時還可指定將重制認證信寄送到非註冊信箱,更瞎的是即便沒有輸入正確的出生年月日,支付系統竟然將 2019 年 1 月 1 日作為系統預設,等同只要知道帳戶與註冊信箱就可竄改密碼,而事件的犯人就是利用這個設計的漏洞,藉由自動化軟體將大量帳戶的密碼重制並竊取金額。

日本 7-Eleven 已經允諾將會賠償消費者損失,當前 7Pay 除暫停服務外,也停止新帳戶申請。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

上線隔天就遭駭 日行動支付「7pay」3個月就收攤

日本超商龍頭7-Eleven今年7月宣布行動支付「7pay」上線,沒想到隔天系統就被駭,目前總計超過800人受害、3800萬日圓(約台幣1127萬元)。官方召開記者會道歉,並表示由於短期無法改善,宣布7pay將在9月底正式停用,也會賠償所有盜刷損失。

7pay標榜操作簡單,且不用帳號密碼,登入後綁定銀行帳戶或信用卡,就可以透過掃描QR碼或二維條碼消費,上線後吸引約150萬名會員註冊。沒想到剛風光推出,就被海外IP侵入盜刷,社長小林強急忙召開記者會,卻無法解釋系統漏洞疑慮,甚至不了解「兩階段驗證」,引發網友譁然。

經過警方調查,7pay系統遭駭恐是「整合式清單」攻擊,上月4日已逮捕2名中國籍嫌犯,其中一名嫌犯表示受人指使,迄7月31日受害用戶達808人、不法金額逾3800萬日圓。

歷經一個月的資安風暴,官方昨( 1日)召開謝罪記者會,解釋相關漏洞有三,一是系統認證的等級不足,沒有加入二步驟驗證功能、二是開發過程的缺失、三是管理上的缺失,承諾會賠償所有損失。由於為了保護消費者的安全,加上短期內無法有效改善安全系統的問題下,決定於9月底終止7pay的服務。

日本7pay推出兩個月仍無法解決被盜用帳號問題,7-11宣布將全面喊停

日本便利商店龍頭7-ELEVEn(7-11),才於7月份推出了手機支付服務7pay。不過才推出不到三個月的時間,今天就宣布該服務將於9月底結束。以像7-11這樣規模的公司來說,推出一個服務不到三個月就結束,是非常罕見的事情。

由於7pay從7月1日上路後沒幾天,就發生消費者被盜用帳戶,截至 7 月 29 日,受害人數已增至 807 人,損失金額達 3,860 萬日圓。日前7-11更要求所有 7iD 用戶重設帳戶密碼,但仍無法徹底解決問題,顯示無力解決被盜用風險。

業界表示,7pay之所以發生被盜用帳戶的情況,主要是現有制度在設計時並沒有防盜用的「兩步驟驗證」機制,因此也被資安公司質疑7Pay的安全機制草率。

相對來說日本全家所推出的 FamiPay 則也選在今天公布他們的用戶人數已經達到 315 萬。事實上, FamiPay 是與7pay同一天推出的服務,但是狀況卻與7-11大不相同,因為他們有使用兩步驟驗證的機制,並沒有帳戶被盜用的問題發生。反而因為太多消費者申請會員,因此一度造成手機APP無法正常連線,因而向用戶送出 180 日圓 FamiPay Bonus當作是「道歉」。

出生3個月就夭折!漏洞太大補不了,日本7-11宣佈7 Pay中止營運

今年7月初,日本7-11風光推出行動支付服務7 Pay,然而上線不到一周便因嚴重安全漏洞遭駭客攻擊,使近千名消費者蒙受損失,盜用近4,000萬日圓。

如今官方研判問題太大無法繼續營運,日本7-11母公司7&I控股在8月1日召開記者會,宣布7 Pay將於9月30日壽終正寢,結束短短3個月的服務。

推出4天就被駭,官方緊急暫停服務

日本7-11於7月1日發布7 Pay行動支付,民眾可利用App在日本全國7-11進行消費,每使用200日圓即可獲得1日圓點數(nanaco)回饋。這項服務甫推出3天,就吸引上百萬名用戶註冊。

然而才上線沒多久,7月4日就傳出許多用戶帳號遭第三方盜用。7-11官方推估受害用戶約900名,被盜用金額逾3,000萬日圓。盜用事件爆發後,7-11也立即暫停申辦帳戶與儲值功能,這項支付服務可說近乎停擺。

在後續調查中,官方發現7-11集團的共通帳號「7iD」具有嚴重安全漏洞,在7月11日中止外部帳戶的登入功能;並於30日全面重置7iD用戶密碼。即便如此,官方評估無法短期內修復,在8月1日召開記者會,宣告結束7 Pay的服務。

7&i控股副社長後藤克弘、7&I Net Medua社長田口廣人、7&I控股數位戰略推進本部高級主管清水健、7 Pay營業部長奧田裕康等四人代表出席記者會,並因7 Pay引發的事件,深深向日本社會致上歉意。

遭盜用逾千萬元,7-11保證補償用戶損失

7&I控股副社長後藤克弘表示,截至7月31日為止,此事件受害用戶累計為808人,損失金額達3,861萬日圓(約新台幣1,100萬元)。同時,7-11官方保證會彌補所有受害用戶的損失。

目前7 Pay用戶依舊可在各家7-11消耗帳號內的餘額,停止服務時未使用完畢的部份,7-11也強調會全數奉還。

7-11聲稱,經外部調查顯示,本次事件極可能是受到外國駭客的密碼噴灑攻擊。在事件爆發前夕,登入伺服器接收到上千萬次錯誤登入要求,包括試圖登入未登記帳號、輸入密碼錯誤等,並否認早前外界質疑7-11外流用戶資料的可能性。

稍早前,日本警方也捕獲兩名利用漏洞牟利的中國籍嫌犯,兩人都聲稱受他人指使。其中22歲男子張升透露,他在微信上看到一則幫忙買東西就能賺外快的消息,才按照指示購買大量電子菸。目前警方懷疑有大型國際犯罪組織參與其中。

除了系統漏洞外,7 Pay本身的防護也有問題。7-11坦承,原先他們認為可透過系統監控阻止可疑交易,才為了便利性不提供雙重認證功能,但事實證明安全防護遠遠不足。

對於外界為何需要到停止營運的地步,而非暫時下架修復的疑問,7-11則解釋,驗證系統有安全疑慮是已知的事實,決定中止服務並非出自經營上的判斷,而是基於保護使用者的考量。

只是「踩煞車」,7-11將重整再出發

7 Pay本應該是推動7&i控股數位戰略的服務。今年4月時,7&i控股喊出要在年內將7iD用戶從1,500萬增加至3,000萬,串連集團內各個品牌的優惠與商品資訊,進而達到促進銷售、擴大客戶群的目的。

雖然此次事件弄得沸沸揚揚,但7&i控股不打算改變推動數位戰略的方針,也不會追究管理層的責任。在7 Pay上的滑鐵盧,後藤克弘聲稱,對整體集團營運並沒有造成太大影響,或許可以說微乎其微。

經由這次教訓,7&i控股預計之後將設立更全面、連結全社的安全組織,採取與時並進的資安防護措施,同時宣稱一切準備就緒後會捲土重來,不過後藤克弘也提到,將不會再以7 Pay的名義重新出發,宣告7 Pay已經壽終正寢。

與7-11同為日本三大便利商店的FamilyMart,在7 Pay登場同日也推出FamiPay行動支付服務。FamiPay推出1個月來已累積315萬用戶,兩者的命運大相逕庭。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Forums  ›  📰新聞  ›  日本