Мобільний платіжний додаток 7-Eleven закрили після того, як хакери викрали у клієнтів $500 тис.

Прагнучи долучитися до мобільних платежів, японський бізнес 7-Eleven нещодавно запустив 7Pay для клієнтів, які шукають швидкий і простий спосіб придбати товари в магазині.

Але вже через кілька днів після запуску системи на початку минулого тижня деякі клієнти почали скаржитися на те, що з них стягують кошти за товари, які вони не купували.

Наразі компанія призупинила використання свого мобільного платіжного сервісу, поки вона розслідує процедури безпеки 7Pay, або їх відсутність. У заяві, опублікованій в кінці минулого тижня, 7-Eleven визнала, що хакери отримали доступ до додатку і здійснили фіктивні транзакції, які торкнулися 900 клієнтів на суму 506 000 доларів.

• Супутниковий зв’язок в iPhone 14: як це працює, скільки коштує і не тільки
• Не слухайте мільярдерів на кшталт Ілона Маска – магазини додатків – це фантастика
• Великобританія хоче розірвати хмарну ігрову зашморг Google і Apple

У суботу, 6 липня, газета Japan Times повідомила про арешт двох китайців, які можуть бути пов’язані зі зломом, причому одного з них підозрюють у спробі шахрайства після того, як він заплатив 730 000 ієн (близько $6750) за покупку майже 150 блоків картриджів для електронних сигарет в магазині 7-Eleven в Токіо, нібито використовуючи вкрадені посвідчення особи.

7Pay працює за допомогою штрих-коду, який з’являється на смартфоні клієнта, а касир сканує його, щоб стягнути вартість товарів з прив’язаної дебетової або кредитної картки клієнта.

Але, як повідомляє ZDNet, додаток був настільки погано розроблений, що дозволяв будь-кому, хто знав адресу електронної пошти, дату народження і номер телефону покупця, заволодіти його рахунком.

Хакер зробив це, використовуючи ці дані для скидання пароля облікового запису, причому посилання для скидання могло бути надіслане на електронну адресу хакера, а не власника облікового запису. Після цього хакер міг отримати контроль над обліковим записом.

Припускається, що хакери автоматизували атаку, використовуючи інформацію, зібрану під час попередніх порушень безпеки в Інтернеті, спрямованих на японські бази даних.

Тривожна легкість, з якою хакери змогли використати 7Pay, спонукала уряд Японії втрутитися в ситуацію, і Міністерство економіки, торгівлі та промисловості звинуватило 7-Eleven у неналежному дотриманні інструкцій, що запобігають такому несанкціонованому доступу. Компанія, яка управляє понад 20 000 магазинів в Японії, вибачилася за інцидент і пообіцяла повністю відшкодувати збитки постраждалим.

Інцидент з 7Pay нагадує інший злам системи мобільних платежів кілька років тому, коли вже неіснуюча система CurrentC стала мішенню хакерів під час її тестування. Чи буде 7Pay відроджена зі значно покращеною безпекою, чи в кінцевому підсумку піде тим же шляхом, що і CurrentC, ще належить з’ясувати.

Рекомендації редакції

• Apple може зробити немислиме – дозволити сторонні магазини додатків для iPhone
• Оновіть свій Google Pixel 7 зараз, щоб отримати три великі функції безпеки та аудіо
• Втома від підписки на додатки швидко руйнує мій смартфон
• Ваш iPhone може збирати більше особистих даних, ніж ви думаєте
• Airbnb нарешті виправляє дратівливий спосіб відображення цін в додатку

Source: digitaltrends.com