作者prussian (prussian)
看板MobilePay
标题Re: [新闻] 日本7-11行动支付App「7pay」900人遭盗
时间Sat Jul 6 00:28:33 2019
※ 引述《a90575 (CY)》之铭言:
: 推 go1717: 这900人被盗 是不是都没有用独立的帐号密码来登入? 07/06 00:17
: → go1717: 之前很多人openpoint点数被盗 我很早就使用独立帐密 一样 07/06 00:20
: → go1717: 没有被盗 07/06 00:20
: 推 go1717: 在你不知道对方帐号的何况下 独立帐密的帐号 本身就是另外 07/06 00:23
: → go1717: 一道密码 07/06 00:23
https://www.ithome.com.tw/news/131677
日本7-Eleven手机支付新app被骇,近900名用户损失5500万日币
文/林妍溱 | 2019-07-05发表
在爆发多名用户帐号遭骇导致银行帐号被盗刷事件後,7-Eleven已经
紧急暂停7pay的会员申请机制,以及信用卡和现金卡支付功能。
日本7-Eleven本月才刚推出的支付app 7pay传骇客骇入漏洞,将近
900名消费者帐号被盗导致银行帐号盗刷,损失高达5500万日币(约
1600万台币)。
这项服务本周一(7月1日)才在日本推出。7pay app可以手机显示条
码,让消费者在柜台付款时由店员以读卡机读取,消费金额则从信用
卡或现金卡帐户扣款,或是使用nanaco点数或折价卷支付。消费者的
银行帐户等个资皆存在7iD帐号中。
本周三有多名日本消费者透过推特表示自己的7 pay密码遭人窜改後
信用卡遭人盗刷。另一名用户则表示被盗刷金额达6万日币。
7-Eleven已经紧急暂停7pay的会员申请机制,以及信用卡和现金卡支
付功能。日本CNET报导,截至7月4日早上6:00止,已有约900人受害
,损失金额约为5500万日币。
问题出在7pay app设计极不严谨的密码重设功能上。消费者需要重设
密码时,只要输入生日、手机号码及
任一电子邮件信箱,系统即会将
重设邮件寄到该信箱内,并未进行电子邮件信箱的验证。网路上稍微
搜寻一下,即可蒐集到特定用户的生日及手机号码。骇客只要输入自
己的信箱就能拦截该信件,而代用户重设密码,进而存取帐号中的个
资。
更离谱的是,日本Yahoo报导,如果消费者登录帐号时未输入生日,
则
系统会预设其生日为2019年1月1日,使骇客更容易得逞。
日本产经新闻报导,日本警方已经在7月4日逮捕2名20多岁的中国籍
嫌犯,当时他们正在新宿一家7-Eleven中,以7pay购买价值20万日圆
的电子烟引发怀疑。警方正在调查他们是否涉入本案。
废到笑...
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.8.250 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1562344116.A.408.html
1F:→ JuiFu617: 超烂的安全机制 07/06 00:34
2F:推 go1717: 看来要强上双重验证2FA了XD 07/06 00:34
3F:推 Allen145615: 这不用骇客,正常人都可以破解吧XDDDD 07/06 02:59
4F:嘘 kakukangen: 低能系统 07/06 03:51
5F:→ kakukangen: 那个人审的= = 07/06 03:51
6F:推 tonyian: 这是欢迎来我家作客的概念 07/06 11:00