您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

日本7-Eleven手機支付APP被駭

日本7-Eleven 於7/1推出支付APP 7pay,傳出駭客利用該APP設計不嚴謹缺陷進行攻擊,導致消費者帳號被竊,並盜刷帳號內綁定之銀行支付資訊。7pay APP可於手機顯示條碼,讓消費者在櫃台付款時由店員以讀卡機讀取,消費金額則從信用卡或現金卡帳戶扣款,或是使用nanaco點數或折價卷支付,消費者銀行帳戶等個資皆存在7iD帳號中。自7/3起,有多名日本消費者透過推特(Twitter)表示,自身7 pay密碼遭人竄改後信用卡被盜刷,7-Eleven接獲消息後隨即緊急暫停7pay會員申請機制與支付功能。據日本媒體報導,截至7/4早上6:00止,已約有900人受害,損失金額約為5500萬日幣。

經初步調查,本次事件基本上是該APP存在兩個明顯問題所導致。第一個問題是註冊時,用戶生日輸入機制。在iOS系統開啟7pay App要註冊7iD會員時,一開始註冊介面上會有7iD (電子郵件信箱)、居住地區、生日及性別欄位需要填寫。但用戶只需輸入第一項電子郵件信箱資訊,在沒有輸入其他選項情形下,依然可執行下一步,且系統還自動預設以2019年1月1日作為生日,並在APP會員資料介面說明提到有此預設機制。Android 系統則沒有這個問題,需填寫所有欄位才能繼續。

第二個問題則是密碼重設時,電子郵件信箱輸入驗證機制。為確保用戶帳號安全,現行網站在會員密碼變更或重設上,均有一定程度驗證機制,確認是否為用戶本人所執行。但在該APP「忘記密碼」申請介面上,僅要求輸入生日與7iD,且可輸入任意電子郵件信箱來接收重設密碼信。該系統竟未比對輸入的接收重設密碼電子郵件信箱,與7iD會員帳號電子郵件信箱是否相同,且預設生日為2019年1月1日機制,更大幅降低猜測難度,使駭客更容易得逞。更具爭議的是,重設會員密碼或註冊過程,均未搭配兩階段驗證機制,當重設輸入不同電子郵件信箱時,也無額外驗證機制。

由於這起事件已嚴重影響廣大民眾支付安全,日本經濟產業省對7pay沒有遵守相關準則感到不滿,7/5於官方網站發出公告,嚴厲要求業者應遵守相關準則,防止不當濫用行為,以避免類似事件再次發生。對此,日本7-Eleven 母公司7&i控股,也於當日發布消息,宣布將導入兩階段驗證,並修改儲值上限。對於7pay這次離譜的表現,外界普遍認為該公司可能因為市場競爭而急於將服務推出上線,卻導致基本安全機制設計疏忽。結果不僅造成實質損失,引起軒然大波,並讓消費者對其失去信心,對於全球支付業者而言,更應引以為戒。

Reference

資料來源:
https://www.japantimes.co.jp/news/2019/07/04/business/corporate-business/users-7-elevens-mobile-payment-service-lose-total-%C2%A555-million-900-accounts-hacked/#.XS7Q1FKP6Hs
https://www.theverge.com/2019/7/6/20684386/7-eleven-japan-shut-mobile-payments-app-7pay-security-flaw-cybersecurity
https://www.ithome.com.tw/news/131677
https://www.ithome.com.tw/news/131715
技術服務中心整理

Publish Date
2019/7/19 0:00:00