تقریبا 900 مشتری فروشگاههای زنجیرهای سون الون (7Eleven) ژاپن به خاطر ربوده شدن اکانتهایشان در اپ پرداخت آنلاین 7pay مجموعا 510 هزار دلار خسارت دیدند.
عامل این اتفاق یک مشکل امنیتی در طراحی برنامه پرداخت آنلاین 7pay این شرکت بوده که از یک هفته پیش راهاندازی شد و خدمات دهی به کاربران را آغاز کرد. طراحی این اپ به گونهای بود که در هنگام رسیدن کاربران به باجه پرداخت فروشگاه، بارکدی روی نمایشگر آنها نشان داده میشد. سپس باجهدار با اسکن این بارکد اجناس خریداری شده کاربر را به حساب 7pay او انتقال داده و مبلغ خرید از حساب او کسر میشد.
با این حال این اپ به یک قابلیت بازیابی پسورد مجهز بود که طراحی بسیار ضعیفی داشت. در واقع به افراد اجازه میداد برای اکانت اشخاص دیگر درخواست پسورد جدید بدهند و پسورد جدید هم به جای ایمیل صاحب اکانت به ایمیل خودشان ارسال شود.
با این اوصاف یک هکر فقط به آدرس ایمیل، تاریخ تولد و شماره تلفن شخص هدف نیاز داشت تا بتواند حساب کاربری او را تحت کنترل بگیرد و بخشی از پروسه بازیابی پسورد هم او را قادر میساخت که برای دریافت پسورد جدید، یک ایمیل شخص ثالث (یعنی ایمیل خودش) را وارد کند و پسورد جدید را بدون دردسر تحویل بگیرد.
البته رخنه امنیتی این برنامه به همینجا ختم نمیشود چرا که اگر هکر تاریخ تولد شخص هدف را هم در اختیار نداشت اپ به صورت پیشفرض تاریخ 1 ژانویه 2019 را در نظر میگرفت که پروسه هک اکانت اشخاص برای هکرها راحتتر هم بشود.
با وجود همه امکاناتی که برای آنها فراهم شده بود، هکرها فقط به اطلاعات پایه کاربران ژاپنی که با یک جستجوی ساده در اینترنت قابل دسترسی است نیاز داشتند تا حمله خود را برنامهریزی کنند.
دقیقا یک روز بعد از راهاندازی این اپ پرداخت آنلاین شکایت کاربران در مورد عمل نکردن پسورد اکانتهایشان شروع شد. سون الون هم روز بعد سرویس پرداخت خود را از دسترس خارج و با صادر کردن بیانیهای خسارات این رخنه امنیتی را اعلام کرد. به گفته این شرکت، هکرها موفق شدند کنترل 900 حساب کاربری را به دست گرفته و 510 هزار دلار به جیب بزنند.
این کمپانی همچنین اعلام کرد که جبران تمام خسارات وارد شده به کاربران را به عهده خواهد گرفت. رسانههای ژاپن اخیرا اعلام کردند که پلیس دو فرد چینی را در هنگام خرید با اکانت 7pay یک شخص دیگر دستگیر کردهاند، البته هنوز مشخص نیست که آیا این افراد به حمله سایبری اخیر مرتبط هستند یا خیر.
