關於日本7-Eleven「7Pay」的重設密碼功能,因其身分驗證機制不夠嚴謹,導致已有數百用戶帳戶讓人盜用進而盜刷的事件,日前7&i控股(Seven & I Holding)與7pay均已在官方網站已發出公告,並表示從7Pay上線後隔日,就陸續收到用戶反應遭人盜刷的狀況。到底7pay App的身分認證與密碼重設機制,出現了那些嚴重的問題?各界都很關心。

對於實際操作過程的弱點,已經有許多日本民眾在網路上討論。例如,在7月3日,日本一名研究員高木浩光(Hiromitsu Takagi)在Twitter上,就指出了7iD會員登入的相關問題。根據他的貼文,在iOS系統開啟7pay App要註冊7iD會員時,一開始的介面上會有7iD(電子郵件信箱)、居住地區、生日與性別的欄位,但是,用戶只要輸入第一項的電子郵件信箱,在沒有輸入生日等選項的情形下,依然可以執行下一步。

同時,系統還會自動預設以2019年1月1日作為生日,而這樣的機制,居然在App上的會員資料介面也有說明。

另外,在該App的「忘記密碼」的申請介面上,僅要求輸入生日與7iD,並可輸入任意的電子郵件信箱,來接受寄送重設密碼信。也因為上述原因,最後他退出了7iD會員,並在原因一欄指出安全弱點的問題。

對此貼文內容,另一推特帳號@j416dy的網友則回應,在7pay的Android版註冊時,用戶必須要設定居住地區、生日與性別,但iOS版並未設限。

從上述過程來看,7pay密碼遭人竄改的事件,基本上,有兩個明顯的問題,包括註冊時的用戶生日輸入,以及重設時的電子郵件信箱輸入。

舉例來說,為了確保用戶帳號安全,現行的網站在會員密碼變更或重設上,應該都有相應的機制,來確保是否為本人操作。但從7pay用戶的實際經驗來看,機制設計相當不嚴謹。例如,該系統竟未比對輸入的電子郵件,與7iD會員帳號的電子郵件是否相同;這種預設生日的機制,其實也降低了他人猜測的難度。更具爭議的是,重設會員密碼或註冊的過程,沒有搭配兩階段驗證的機制,當重設輸入不同電子郵件信箱時,也沒有額外的驗證。

而且,系統上線前是否沒有經過測試,也引發外界質疑。這種第三人可以輕易重設密碼的問題,通常在測試階段就能發現,更何況這還是發生在一個提供支付交易的App上。

   

在7月3日,日本研究員Hiromitsu Takagi在Twitter上,指出iOS版7Pay App的問題,包括註冊時只要輸入電子信箱,而生日、性別與居住地等項目可以不用輸入,在進入7iD會員資料介面時,則會看到用戶未輸入生日資訊,將會預設為2019年1月1日,另外,在設定寄送重設密碼信的電子信箱時,可以不同於7iD帳戶的電子信箱,而且沒有額外的驗證機制,他並實作了整個流程。(圖片來源:擷取自Hiromitsu Takagi's Twitter)

對於7Pay App的註冊流程,另一@j416dy網友也回應,指出用戶設定居住地區、生日與性別,在Android版是必須的,但iOS版卻是任意的。

若從網站的密碼重設機制來看,在7&i的OMNI7網站上,提供了用戶在忘記ID密碼時的因應方式,這裡其實分成兩種情境,一種是忘記會員ID,另一種是忘記密碼。例如,前者需要輸入會員的出生年月日、電話號碼與電子郵件信箱,就可以重新設定會員的密碼。若是忘記密碼,這裡也依照兩種登入方式而有不同,一種會要求出生年月日、電話、會員ID,另一種則要求出生年月日、7iD帳號。

7&i控股已經對外發出重大公告,揭露近千7Pay會員遭盜刷

基本上,7Pay屬於「第三方支付」的電子錢包,使用前需要先加值,例如可用綁定的信用卡或Debit Card來儲值。但隨著7pay帳戶被盜用的事件傳開,讓用戶產生安全危機,因此,7&i控股也在7月4日向外界說明,並在官方網站上公布事件發生經過,以及預估的事件影響範圍。只是,對於7pay這幾日的事件應變過程,其實也引發了外界相當大的爭議。

根據7&i控股的說明,其實在7月2日,也就是7pay上線的隔天,就接到關於此事件的第一次回報。在7月3日公司進行內部調查,確認發現異常行後,因此設置緊急客服中心,並在7pay主頁上發出公告,呼籲用戶注意帳號密碼的管理,同時,他們也立即停止了信用卡或Debit Card的轉帳儲值。

到了7月4日,在提供服務的7pay公司召開記者會後,也讓外界得知事件的更多資訊,包括:他們凍結疑似遭盜用的7pay帳號,並暫停App會員從綁定信用卡或Debit Card的轉帳儲值,以及各式儲值方式;在3日上午10點,也禁止海外IP位址登入7pay,因為他們最初發現的會員遭盜刷案例,都是在中國等海外。

同時,他們也揭露了事件影響範圍,在4日早上6點為止,估計遭到濫用的帳號數約900個,損失金額約5,500萬日圓(約新台幣1,600萬元)。至於用戶權益損害賠償的處理,他們承諾將會補償所有受害用戶的損失。

關於引起外界質疑的部分,例如,該公司在3日只是提醒用戶小心保管帳號密碼避免外洩,顯然還不太清楚狀況;對於未導入兩階段驗證的質疑,該公司當時也無法回覆,後續僅指出7pay的設計導向,是以用戶體驗為優先。

由於這起事件,已經嚴重影響廣大民眾支付安全,當地行政機關日本經濟產業省,也對7pay沒有遵守相關方針感到不滿,7月5日在官方網站發出公告,嚴厲要求這類業者應遵守相關準則,防止不當濫用的行為,避免類似事件的再次發生。對此,7&i控股也在當天發布消息,宣布將導入兩階段驗證,並修改儲值上限。

對於7pay這次離譜的表現,外界普遍認為該公司可能為了市場競爭,急於將服務推出上線,卻導致基本的安全機制設計都疏忽。但這不僅造成了實質損失,引起軒然大波,並讓消費者對他們失去信心,對於全球支付業者而言,更應引以為戒。

無論如何,關於這次事件在短短兩三天內,就傳出數百起受害案例,這也再次提醒大眾,由於近年個資外洩的情況相當嚴重,而這些外洩的資訊可能就包含用戶的生日、電話與電子郵件,也就是說,駭客集團要取得這些資訊其實並不難。

在7月4日,7&i控股(Seven & I Holding)已在官方網站發出對此事件的公告,公布事件發生經過與處置動作,以及預估的事件影響範圍。

在7月5日,日本經濟產業省也對這次7pay沒有遵守相關方針感到不滿,於7月5日在官方網站發出公告,嚴厲要求這類業者應遵守相關準則,防止不當濫用的行為,避免類似事件的再次發生。

熱門新聞

Advertisement