Japoński oddział amerykańskiej sieci sklepów spożywczych 7-Eleven został zmuszony do wyłączenia nowej wersji swojej aplikacji 7Pay, po tym jak okazało się, że w kilka dni skradziono korzystającym z niej klientom ponad 55 mln jenów, czyli ok. 530 tys. dolarów. Przestępcy włamali się na 900 kont użytkowników w ciągu jednego dnia.

Przeczytajcie także: • Rzecznik Finansowy – bank powinien w ciągu jednego dnia zwrócić pieniądze

Japońska filia 7-Eleven 1 lipca opublikowała aktualizacje swojej apki. Nowa wersja umożliwiała klientom zeskanowanie dwuwymiarowego kodu za pomocą aplikacji i obciążenie podłączonej karty kredytowej lub debetowej bez konieczności chodzenia do kasy (coś w rodzaju znanej w Polsce opcji "scan and go"). Niestety już po jednym dniu użytkownicy zaczęli skarżyć się, że ich rachunki obciążono płatnościami, których nie realizowali.

Okazało się, że aplikacja miała wadę. Można było zresetować jej hasło i wysłać nowe na inny adres e-mail niż ten, który został użyty do skonfigurowania konta. Żeby to zrobić, złodzieje musieli wprowadzić adres mailowy prawdziwego użytkownika, jego datę urodzenia i numer telefonu. Główny błąd polegał na tym, że jeśli nie wprowadzono daty urodzenia, aplikacja użyła domyślnej daty 1 stycznia 2019 r. To ułatwiło hakerom włamania na konta. Zautomatyzowali atak i udało im się dokonać przelewów z kart 900 osób.

Przeczytajcie także: • Porno-szantaż cyberprzestępców i okup w bitcoinach

Po kilku dniach firma 7-Eleven Japan wyłączyła funkcję płatniczą w swojej aplikacji i przestała rejestrować nowych użytkowników. Obiecała też zwrot pieniędzy wszystkim klientom, którzy ponieśli straty z powodu działania cyberprzestępców. Według japońskich śledczych za atakiem stała chińska grupa hakerska, znana wcześniej z używania skradzionych tożsamości do dokonywania przestępstw w internecie.

Fot. Flickr/Trevor Dykstra/CC BY-NC-SA 2.0