在黑客劫持他们的7pay应用账户并以他们的名义提出非法指控之后,7-Eleven Japan的大约900名客户已经损失了5500万日元(51万美元)的集体。
该事件是由于7月1日星期一7-Eleven日本在该国推出的公司7pay移动支付应用程序设计中令人震惊的安全失误造成的。
7pay移动应用程序旨在当客户到达7-Eleven收银台时,在手机屏幕上显示条形码。收银员扫描条形码,并将购买的商品记入用户的7pay应用程序以及已保存在帐户中的客户的信用卡或借记卡。
然而,在令人难以置信的事件转变中,该应用程序包含密码重置功能,其设计非常糟糕。它允许任何人为其他人的帐户请求重置密码,但将密码重置链接发送到他们的电子邮件地址,而不是合法的帐户所有者。
黑客只需要知道7pay用户的电子邮件地址,出生日期和电话号码。密码重置部分中的另一个字段允许黑客请求将密码重置链接发送到第三方电子邮件地址(在黑客的控制下),无需挖掘应用程序的代码或篡改HTTP请求,如大多数这些黑客都涉及到。
此外,根据雅虎日本的一份报告,如果用户没有输入他们的出生日期,该应用程序将使用2019年1月1日的默认值,使一些攻击更容易。
由于有大量关于日本用户的数据存在于互联网上的大量过去的漏洞,黑客只需要编译它并自动化攻击。
所以他们做到了。
7-ELEVEN承诺赔偿被黑客入侵的7PAY用户
7-Eleven的用户开始抱怨被锁定在其7pay的账户一天内应用推出后,许多宣扬在Twitter上自己的不满[ 1,2,3 ]。
日本7-Eleven日后做出反应,于7月3日关闭了7pay服务。
在今天早些时候发布的一份新闻稿中,该公司在过去几天发布了一份验尸报告,承认在两天内黑客入侵了近900个7pay账户,非法收费价值5500万日元(51万美元)。
该公司承诺赔偿所有在黑客攻击中失去资金的用户。
今天早些时候,当地媒体报道说,东京警方逮捕了两名 20多岁的中国男子,他们试图用另一个人的7pay账户购买香烟。目前还不清楚这两名嫌犯是否是7次袭击事件背后的嫌犯。
上一条: 谷歌云美国东部数据中心物理网络线路故障
下一条: 谷歌浏览器新功能:可阻止大量广告的网站
