В четверг 7-Eleven Japan приостановила недавно запущенную функцию мобильных платежей в своем приложении 7Pay после того, как уязвимость в программном обеспечении позволила третьей стороне сделать фиктивные платежи с сотен счетов клиентов.
Компания открыла доступ к функции платежей в понедельник, 1 июля: она позволила клиентам сканировать штрих-код с помощью приложения и производить платежи со связанной кредитной или дебетовой карты. Однако на следующий же день компания начала получать жалобы: клиенты увидели оплаты, которые они не делали. Приложение имело уязвимость, сообщает Yahoo News Japan (через ZDnet). Хакер должен знать только дату рождения пользователя, его электронную почту и номер телефона и может отправить запрос на сброс пароля на другой адрес электронной почты. Приложение также сбрасывало по умолчанию даты рождения людей до 1 января 2019 года в случаях, когда они не заполнили поле, что значительно упростило задачу по взлому учетной записи.
В этом случае хакеры, похоже, автоматизировали атаку, и, по данным компании, около 900 человек стали целями, со счетов которых было украдено 55 миллионов иен (500 000 долларов США). 7-Eleven Japan утверждает, что приостановил функцию платежей со связанных карт, опубликовал предупреждение на веб-сайте функции 7pay и прекратил регистрацию новых пользователей. Компания также говорит, что будет компенсировать пользователям, аккаунты которых были взломаны, понесенные убытки и запустит горячую линию для поддержки пользователей.
Член Министерства экономики, торговли и промышленности Японии сказал компании, что она должна укрепить свою безопасность, поскольку она не следовала рекомендациям по безопасности. Японские власти с тех пор арестовали двух человек, пытавшихся использовать взломанную учетную запись, и считают, что они могут быть связаны (или были наняты) китайским преступным сообществом, известным использованием украденных учетных записей в интернете.
Подготовлено порталом Allinsurance.kz