freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

7-ELeven的支付app曝出漏洞,导致用户损失50万美元
2019-07-05 18:31:34

22.jpg

近日,有黑客劫持了7-ELeven旗下应用“7pay”的数百个帐户,导致7-ELeven在日本的约900名客户共损失了5500万日元(约合51万美元)。

这起安全事件的根本原因“7pay”,是一款7-ELeven在7月1日,星期一,针对日本市场所推出的支付app。但令人意想不到的是,这款程序存在严重的安全漏洞。

7pay的主要使用方法是当客户在7-ELeven购物付款时,显示出付款条形码,收银员扫描后就会自动从帐户中扣钱。每个app的帐户都预先绑定了信用卡或借记卡。所以一旦7pay的帐户被劫持,就很容易造成大量经济损失。

而这款7月1日发布的app中的某个功能(密码重置)正好存在一个令人难以置信的安全漏洞。攻击者可假冒他人的帐户发起密码重置请求,并用攻击者自己的邮箱接受密码重置链接,普通用户的帐户在不知不觉中就被他人控制。

攻击者只需要知道其他7Pay用户的电子邮件地址、出生日期和电话号码就可进行攻击。在密码重置的整个流程中,有个请求字段允许攻击者将密码重置链接发送到第三方电子邮件地址。无需深度挖掘app的漏洞,也无需其他篡改操作,攻击即可完成。

此外,根据雅虎日本的一份报告,如果用户在设置帐户时没有输入出生日期,app将使用默认值2019年1月1日,这也减轻了攻击难度。

多年以来,日本众多公民的个人隐私数据由于各种各样的安全事件而泄露,攻击者可能正是依靠这些庞大的非法数据而发起的攻击,只需编写简单的脚本,就可对大量帐户进行劫持。

7-Eleven承诺赔偿所有受攻击客户

此次安全事件是在7pay发布一天后就被曝出,众多7-ELeven的用户纷纷在社交网络上抱怨自己的7pay帐户出现异常。

33.png

44.png

而在7月3日,7-Eleven对外发表官方声明,表示将关闭7pay服务。

55.png

在早些时候的一份新闻稿中,7-Eleven公布了此事的详细调查,承认在过去两天的时间里,黑客侵入了近900个支付账户,非法获取了5500万元日元(约合51万美元)的利益。

该公司承诺赔偿所有在黑客攻击中遭受损失的用户。

而当地媒体报道说,东京警方在此事发生后逮捕了两名20多岁的中国男子,当时他们正试图用另一个人的7pay账户购买香烟。目前尚不清楚这两名嫌疑人是否是此次安全事件的幕后黑手。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2748.html
来源:https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/
# web安全 # 业务逻辑漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者