近日,在黑客劫持7pay应用帐户之后,711日本约900名客户共损失了5500万日元(约合51万美元)。
7月1日,711日本推出了一款名为7pay的移动支付应用,但不料该应用却存在严重的安全漏洞。
当顾客在711购物付款时,拿出7pay所显示的付款条形码,一经收银员扫描后就会自动从帐户中扣钱。每个应用的帐户都预先绑定了信用卡或借记卡,所以一旦7pay的帐户被劫持,就会造成大量的经济损失。
可不幸的是,这款应用的密码重置功能存在一个令人难以置信的安全漏洞。任何人都可假冒账户所有者发起密码重置请求,并用自己的邮箱接受密码重置链接,从而获取他人的账户。
黑客只需要知道其他7Pay用户的电子邮件地址、出生日期和电话号码就可进行攻击。在密码重置的整个流程中,有个请求字段允许攻击者将密码重置链接发送到第三方电子邮件地址。不需花费多大精力,也无需篡改其它操作,黑客可以说是很轻松地就能攻击成功。
此外,根据雅虎日本的一份报告,如果用户在设置帐户时没有输入出生日期,该应用将使用默认值2019年1月1日,这也降低了攻击难度。
多年来,日本公民的个人隐私数据因各种各样的安全事件而泄露,攻击者可能正是依靠这些庞大的非法数据而发起的攻击,只需编写简单的脚本,就可劫持大量账户。
711如何回应此起安全泄漏事件呢?
711用户在该应用推出的第二天就开始抱怨无法登陆自己的7pay账户,很多用户在Twitter上表达了自己的不满。仅一天后,711日本做出反应,于7月3日关闭了7pay服务。
从早些时候发布的一份新闻稿来看,该公司在过去几天里曾发布了一份针对此事件的反思报告,承认黑客在两天的时间里入侵了将近900个7pay账户,非法获取5500万日元(51万美元)。
该公司承诺赔偿所有在黑客攻击中受损的用户。今天早些时候,当地媒体报道称,东京警方逮捕了两名20多岁的中国男子,他们试图用另一个人的7pay账户购买香烟,但目前还不能确定这两名嫌犯是否与7pay此次袭击事件相关。
本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/432/115.htm]