作者fcorners (不動明王)
看板MobilePay
標題Re: [新聞] 日7-11行動支付頻遭盜用 今宣布暫停註冊
時間Fri Jul 5 11:18:06 2019
※ 引述《medama ( )》之銘言:
: ※ [本文轉錄自 CVS 看板 #1T7Q9VJ5 ]
: 作者: medama ( ) 看板: CVS
: 標題: [新聞] 日7-11行動支付頻遭盜用 今宣布暫停註冊
: 時間: Thu Jul 4 14:53:16 2019
: https://www.asahi.com/articles/ASM744G05M74ULFA00Y.html
: 日本7-11超商於本月1日推出行動支付服務「7pay」
: 但開辦後許多使用者遭到不明人士盜用
: 截至今日為止已有900人被害,損失金額約5500萬日圓
: 目前7-11已暫停「7pay」新帳號註冊,
: 同時也暫停儲值及信用卡支付功能,僅限原本已儲值的金額可繼續使用
: 7-11表示將會全額賠償受害者遭盜用的金額。
: https://www.asahicom.jp/articles/images/AS20190704001822_commL.jpg
: 圖:本月1日 日本7-11永松文彦社長親自示範「7pay」行動支付
目前逮到的是幾個中國籍的車手
車手在別處利用自己手機登入受害者帳號
(相關帳號資料由幕後黑手給予)
利用裡面綁定的信用卡自動儲值一大筆
再購買高價產品花光 多半購買高價電子菸
受害者是收到信用卡公司通知異常刷卡才知道被盜用
有的受害者 7/2才辦 7/3就被盜用
日本新聞有講一些7 pay的弊病 大概翻譯如下
https://headlines.yahoo.co.jp/article?a=20190705-00290685-toyo-bus_all
1. 註冊的時候不需本人手機驗證(就是發送驗證碼到手機上的機制)
只要填寫帳號密碼就可以開始使用7 pay
個人資料也無須填生日 所以之後驗證機制不用輸入生日
2. 只要輸入手機號碼和mail帳號就可以重新設定密碼
且重設密碼時 可以更改原先輸入的mail帳號
3. 儲值的時候按下儲值鍵就完成 沒有雙重認證 也不會發簡訊通知本人手機
多半評論是認為日本7-11為了不輸給日本全家的famipay
想提供更方便的註冊和操作機制
結果忽略安全性 (日本全家famipay註冊時需要手機驗證 生日也必須填寫)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.119.135 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1562296689.A.ECD.html
※ 編輯: fcorners (1.175.119.135 臺灣), 07/05/2019 11:20:17
※ 編輯: fcorners (1.175.119.135 臺灣), 07/05/2019 11:22:03
→ JuiFu617: 這漏洞也太大了 07/05 11:27
推 beast1969: 這驗證機制...非洲搞不好都還比較進步 07/05 11:31
→ alex1973: 真的還假的, 這些洞也太大, 再呆的人也看的出來有洞啊 07/05 11:32
推 tonyian: 公司的人腦子不好可以問資安人員,還是日本資安也是下流 07/05 11:44
→ tonyian: 階層? 07/05 11:44
→ kcl0801: 每次看到line寫的那麼肥大 都更讓我確信日本人不會寫程式 07/05 12:13
推 jpteru: 不需本人手機驗證 這IT根本腦子有洞 07/05 12:21
→ elainakuo: 日本崩壞成這樣.... 07/05 12:29
→ deray: 弱 07/05 12:47
→ usedata: 很多收點數的很危險,太多app給人轉點是手機帳號,再被密碼 07/05 13:22
→ usedata: 破解就麻煩了,Hami point雖然也有網頁和app登錄,網頁可以 07/05 13:22
→ usedata: 另設帳號代碼登錄把手機帳號登錄關掉,app卻只能手機帳號 07/05 13:22
→ usedata: 登錄,只能取捨別用app避免了 07/05 13:22
→ usedata: 關掉Hami手機登錄,應該Hami pay就不能用了吧! 07/05 13:25
推 magicalko: openpoint點數的機制也很白癡..7-11根本電支智障 07/05 15:12
→ ketrobo: 這看起來就跟沒設計安全機制一樣 07/05 22:33