作者fcorners (不动明王)
看板MobilePay
标题Re: [新闻] 日7-11行动支付频遭盗用 今宣布暂停注册
时间Fri Jul 5 11:18:06 2019
※ 引述《medama ( )》之铭言:
: ※ [本文转录自 CVS 看板 #1T7Q9VJ5 ]
: 作者: medama ( ) 看板: CVS
: 标题: [新闻] 日7-11行动支付频遭盗用 今宣布暂停注册
: 时间: Thu Jul 4 14:53:16 2019
: https://www.asahi.com/articles/ASM744G05M74ULFA00Y.html
: 日本7-11超商於本月1日推出行动支付服务「7pay」
: 但开办後许多使用者遭到不明人士盗用
: 截至今日为止已有900人被害,损失金额约5500万日圆
: 目前7-11已暂停「7pay」新帐号注册,
: 同时也暂停储值及信用卡支付功能,仅限原本已储值的金额可继续使用
: 7-11表示将会全额赔偿受害者遭盗用的金额。
: https://www.asahicom.jp/articles/images/AS20190704001822_commL.jpg
: 图:本月1日 日本7-11永松文彦社长亲自示范「7pay」行动支付
目前逮到的是几个中国籍的车手
车手在别处利用自己手机登入受害者帐号
(相关帐号资料由幕後黑手给予)
利用里面绑定的信用卡自动储值一大笔
再购买高价产品花光 多半购买高价电子菸
受害者是收到信用卡公司通知异常刷卡才知道被盗用
有的受害者 7/2才办 7/3就被盗用
日本新闻有讲一些7 pay的弊病 大概翻译如下
https://headlines.yahoo.co.jp/article?a=20190705-00290685-toyo-bus_all
1. 注册的时候不需本人手机验证(就是发送验证码到手机上的机制)
只要填写帐号密码就可以开始使用7 pay
个人资料也无须填生日 所以之後验证机制不用输入生日
2. 只要输入手机号码和mail帐号就可以重新设定密码
且重设密码时 可以更改原先输入的mail帐号
3. 储值的时候按下储值键就完成 没有双重认证 也不会发简讯通知本人手机
多半评论是认为日本7-11为了不输给日本全家的famipay
想提供更方便的注册和操作机制
结果忽略安全性 (日本全家famipay注册时需要手机验证 生日也必须填写)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.175.119.135 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1562296689.A.ECD.html
※ 编辑: fcorners (1.175.119.135 台湾), 07/05/2019 11:20:17
※ 编辑: fcorners (1.175.119.135 台湾), 07/05/2019 11:22:03
1F:→ JuiFu617: 这漏洞也太大了 07/05 11:27
2F:推 beast1969: 这验证机制...非洲搞不好都还比较进步 07/05 11:31
3F:→ alex1973: 真的还假的, 这些洞也太大, 再呆的人也看的出来有洞啊 07/05 11:32
4F:推 tonyian: 公司的人脑子不好可以问资安人员,还是日本资安也是下流 07/05 11:44
5F:→ tonyian: 阶层? 07/05 11:44
6F:→ kcl0801: 每次看到line写的那麽肥大 都更让我确信日本人不会写程式 07/05 12:13
7F:推 jpteru: 不需本人手机验证 这IT根本脑子有洞 07/05 12:21
8F:→ elainakuo: 日本崩坏成这样.... 07/05 12:29
9F:→ deray: 弱 07/05 12:47
10F:→ usedata: 很多收点数的很危险,太多app给人转点是手机帐号,再被密码 07/05 13:22
11F:→ usedata: 破解就麻烦了,Hami point虽然也有网页和app登录,网页可以 07/05 13:22
12F:→ usedata: 另设帐号代码登录把手机帐号登录关掉,app却只能手机帐号 07/05 13:22
13F:→ usedata: 登录,只能取舍别用app避免了 07/05 13:22
14F:→ usedata: 关掉Hami手机登录,应该Hami pay就不能用了吧! 07/05 13:25
15F:推 magicalko: openpoint点数的机制也很白痴..7-11根本电支智障 07/05 15:12
16F:→ ketrobo: 这看起来就跟没设计安全机制一样 07/05 22:33