💊连锁便利店7-11移动支付出现重大安全漏洞 日本IT界可能真的要完

在国内移动支付盛行的时候隔壁日本也在推行这种支付方式,国内目前线下最常用的是支付宝以及微信支付。

而在日本并没有市场占有率非常大的移动支付方式,即便是苹果的Apple Pay 在日本的使用率也没有那么高。

于是现在的情况是日本部分大型公司各自推出自己的移动支付,不管是互联网公司还是实业公司都在这么干。

上线就出现严重安全事故:

线下便利店连锁集团 7-11 在日前推出名为7Pay的移动支付产品,该集团也希望能在日本移动支付市场分羹。

这款移动支付产品与国内的支付宝以及微信支付基本相同,需要付款时出示付款码给店员扫码即可完成支付。

但仅在次日该支付方式就被发现存在严重安全事故,有不少注册绑定银行卡的用户未购物的情况下遭到扣款。

随后该集团确认存在安全漏洞并宣布暂停7Pay支付,同时高管出来道歉并表示将为所有被盗刷用户进行赔偿。

奇葩的安全验证逻辑:

出现盗刷的主要原因是7Pay被发现竟然可以使用非用户的注册邮箱重置密码,也就是可以重置任意用户密码。

其产品设计逻辑是当用户填写姓名和生日以及邮箱即可重置密码,但缺少必要的验证导致任意邮箱均可重置。

至于生日方面如果用户没有主动更改自己的生日,那么系统默认的生日是 2019年1月1日 所以更容易被重置。

简单来说攻击者只需要输入用户姓名加上默认的生日,然后就可以大规模重置用户的账号密码然后发起支付。

7-11高管:两步验证是什么东西?

在被爆出安全事故后该集团已经立即暂停支付产品的使用,同时高管召开新闻发布会道歉并接受媒体的采访。

在新闻发布会上有记者问称为什么该支付产品未部署两步验证,如果有两步验证攻击者也无法登录用户账户。

不过7-11 集团高管反问记者两步验证是什么东西?显然这个全球性的便利店连锁集团在 IT 方面的能力不足。

反观整个事件主要是其支付产品的开发存在巨大问题,没有校验邮箱、没有两步验证、还把生日当关键验证。

然而更大的问题在于漏洞修复上:

在用户发现盗刷后 7-11 目前已经暂停支付产品的使用,同时该集团公司也在着手对漏洞进行修复以便恢复。

然而这家公司的漏洞修复方式让人哭笑不得:在网页上把通过邮箱输入框隐藏起来。以为这样也就算是修复。

也就说只要通过浏览器的F12 开发者工具将样式表的隐藏代码手动删除,就可继续重置其他用户的账号密码。

说难听点这就相当于是把脑袋塞在沙子里然后还大叫一声“你看不见我”,这种修复方式无疑让人感到担心。

日本有开发者进行测试后确认当前仍然可以通过任意邮箱重置用户的密码,简单来说就是漏洞压根没有修复。

7-11这个小机灵鬼:1秒修复漏洞(图片来自8764N)

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞2
木头科学二百五
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

9 条评论,访客:9 条,站长:0 条
  1. Owlrt
    Owlrt发布于: 
    Chromium Edge 77.0.197.1 Chromium Edge 77.0.197.1 Windows 10 64位版 Windows 10 64位版

    我国的某付宝和某信支付,虽然搜集数据非常流氓,但某种层面上来说却非常安全。手动滑稽.jpg

  2. liangpi
    liangpi发布于: 
    Chromium Edge 77.0.197.1 Chromium Edge 77.0.197.1 Windows 10 64位版 Windows 10 64位版

    泰国的7-11都比日本的牛(泰国的7-11APP是可以直接支付的) 日本这个 我真的是醉了

  3. W9L
    W9L发布于: 
    QQbrowser 10.4.3587.400 QQbrowser 10.4.3587.400 Windows 7 64位版 Windows 7 64位版

    我觉得挺正常的,日本那个管信息技术的大臣自己都还说过自己连USB接口都不会插…

  4. hoho
    hoho发布于: 
    Firefox 67.0 Firefox 67.0 Windows 8.1 64位版 Windows 8.1 64位版

    快来向我天朝投诚呗

  5. 露露
    露露发布于: 
    Google Chrome 72.0.3626.105 Google Chrome 72.0.3626.105 Android 9 Android 9

    我笑了,真的。这种公司就该破产,就没见过这么不负责任的公司。

  6. 木头科学二百五
    木头科学二百五发布于: 
    Google Chrome 77.0.3846.0 Google Chrome 77.0.3846.0 Windows 10 64位版 Windows 10 64位版

    原来“发达国家”的传统大企业也对信息技术这么白痴。。。放心了

  7. 那只幽灵
    那只幽灵发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

    我貌似知道了致富的新方法了(手动滑稽)

  8. wqly
    wqly发布于: 
    Google Chrome 75.0.3770.100 Google Chrome 75.0.3770.100 Windows 10 64位版 Windows 10 64位版

    太好玩了

  9. Timor
    Timor发布于: 
    Google Chrome 75.0.3770.100 Google Chrome 75.0.3770.100 Windows 10 64位版 Windows 10 64位版

    这不是逗吗

发表评论