親愛的網友:
為確保您享有最佳的瀏覽體驗,建議您提升您的 IE 瀏覽器至最新版本,感謝您的配合。
側欄選單

日本7-11的資安風暴:超商電子支付「7pay」盜用風波

2019/07/05 轉角24小時

日本超商龍頭7-11今年7月正式推出「7pay」電子支付,上線後已有超過150萬...
日本超商龍頭7-11今年7月正式推出「7pay」電子支付,上線後已有超過150萬用戶;就在這個日本超商新時代序幕的隔天,7pay陸續傳出帳戶遭盜用的災情。 圖/路透社

【2019. 7. 05 】

日本7-11的資安風暴:超商電子支付「7pay」盜用風波

日本超商電子支付剛上路,立刻就被大量盜用?日本超商龍頭7-11今年7月正式推出「7pay」電子支付,上線後已有超過150萬用戶;就在這個日本超商新時代序幕的隔天,7pay陸續傳出帳戶遭盜用的災情。4日官方證實,安全系統被外部入侵,受害者約有900人、盜用金額超過5,500萬日圓(約新台幣1,600萬)。7pay官方隨即停用儲值功能以避免災情擴大,警方在4日晚間宣布,已循線逮捕2名涉案的中國籍嫌犯,但背後是否有組織指示?涉案與被害人數多少?目前仍在調查中。這起盜用風暴,卻已讓剛開打的日本超商電子支付戰,蒙上一層安全隱憂。

▌延伸閱讀:〈人力太少浪費太多:日本超商的「經營轉型」大作戰

「7pay」(セブンペイ)是由 7&I 控股(Seven & I Holding)在今年7月1日正式推出的超商電子支付服務,可於旗下超過2萬間的日本7-11超商使用。用戶透過7-11的App進行會員註冊後即可使用,並能夠綁定信用卡、消費金融卡或是實體店面現金等方式儲值。目前7pay共有約150萬名會員。

日本7-11終於推出電子支付服務,加上同時間競爭對手 FamilyMart 也推行「FamiPay」,被認為是日本超商邁向消費新時代的序幕。但沒想到7pay在1日上線後,就陸續傳出用戶帳號遭盜用消費的災情,更逼得7pay社長在4日下午出面召開記者會謝罪道歉。

4日官方證實,7pay安全系統被外部入侵,受害者約有900人、盜用金額超過5,5...
4日官方證實,7pay安全系統被外部入侵,受害者約有900人、盜用金額超過5,500萬日圓(約新台幣1,600萬)。 圖/路透社

「我的7pay突然自己儲值,然後被全部花光...」根據《NHK》報導,2日開始就有用戶出現「不明原因」的操作紀錄,綁定信用卡的7pay 帳戶被登入後儲值金額,並立即將金額消費完畢,金額從數萬日圓到數十萬都有。

截至4日上午,7pay官方統計至少有900人受害,盜用金額約5,500萬日圓(約新台幣1,600萬)。

7pay官方表示,最大一波受害災情在3日的晚間出現,為了避免盜用情形繼續擴大,已立即停止7pay的信用卡儲值功能,同時暫停新會員用戶註冊。4日下午,7pay社長小林強召開緊急記者會,針對使用安全問題向社會大眾「謝罪道歉」。

雖然小林強在記者會上承諾,公司將會對系統安全漏洞負起責任,並針對受害用戶全額賠償;然而小林強會中對於記者的資安細節提問,卻呈現「狀況外」的反應,讓輿論感到十分詫異。

由於在這次盜用事件中,標榜「簡單操作、輕鬆登入」的7pay系統,在用戶密碼查詢時缺乏雙重步驟的驗證機制(例如需要註冊的手機電話驗證),只需要填入用戶email和生日即可,其中幾乎毫無防範機制的部分是:7pay用戶註冊時,生日會被系統預設為2019年1月1日且可以不必更改,而查詢密碼還可以填入另一個email信箱來收取密碼,密碼輸入錯誤時也不會封鎖登入,讓嫌犯有機可乘。

由於在這次盜用事件中,標榜「簡單操作、輕鬆登入」的7pay系統,在用戶密碼查詢時...
由於在這次盜用事件中,標榜「簡單操作、輕鬆登入」的7pay系統,在用戶密碼查詢時缺乏雙重步驟的驗證機制(例如需要註冊的手機電話驗證),只需要填入用戶email和生日即可,讓嫌犯有機可乘。 圖/路透社

當記者向小林強提問,為何7pay系統不採取「二階段認證」(雙重驗證步驟)、「SMS(簡訊)認證」時,小林強卻一臉疑惑回應:「......什麼是二階段認證?」

記者會上小林強表達對社會大眾和受害者的誠摯歉意,但從2日案發到3日的擴大,也有民眾認為7pay的反應似乎不夠機敏,沒在第一時間採取緊急安全措施。雖然官方承諾賠償,但後續資安問題如何修補、本次案件為何發生,小林強表示仍在調查研討當中。

7pay官方指出,盜用事件是遭受到海外IP的不法入侵,全案已交由警方調查偵辦。在4日晚間,警視廳發布新聞表示,已循線在新宿的歌舞伎町逮捕了2名涉案的中國籍人士,分別是22歲的張升、與25歲的王雲飛(音譯),兩人在3日遭警方逮捕,現已坦誠犯下7pay的非法盜用。

根據《共同社》報導,3日晚間張王二人前往歌舞伎的一間7-11消費,並以7pay購買了146箱的電子菸菸彈(cartridge),總計73萬日圓(約新台幣21萬),並向店員表示「因購買數量太多,稍晚再回來店面取貨」;但與此同時,遭盜用消費的其中一名7pay用戶收到不明消費紀錄後察覺有異,找到這間7-11後向店員通報,兩名嫌犯才在返回取貨時遭警察逮個正著。

從2日案發到3日的擴大,也有民眾認為7pay的反應似乎不夠機敏,沒在第一時間採取...
從2日案發到3日的擴大,也有民眾認為7pay的反應似乎不夠機敏,沒在第一時間採取緊急安全措施。雖然官方承諾賠償,但後續資安問題如何修補、本次案件為何發生,7pay社長小林強表示仍在調查研討當中。 圖/路透社

被捕的張升向警方表示,自己是受他人指使犯案,指使者透過微博傳送多個7pay帳戶ID和密碼,來進行盜用消費。警方也在王雲飛的車中發現另外19箱的菸彈,研判可能還從其他7-11店鋪購貨,其目的是透過7pay購買高價品後轉手販賣,而電子菸補充用的菸彈就是目標之一;張升也表示,購買一盒菸彈的報酬是300日圓(約新台幣90元)。但背後還有多少人涉案?是否為組織犯罪?成員都是中國人?目前警方仍在調查當中。

事件風波至5日仍在輿論延燒,有民眾憂心這不只是7pay的問題,其他各家電子支付系統可能也存在安全漏洞。也有留日生活的中國人表示,擔心這起事件會讓在日中國人的形象觀感惡化,又貼上犯罪者的標籤。

然而對於甫上路的日本超商電子支付來說,7pay 事件確實造成不小的打擊。近年來日本超商因為嚴重的人力不足問題,如何經營轉型成為各家龍頭的苦思的難題。

之中除了取消24小時營業外,開始導入電子支付系統,也被認為是轉型的重要戰略,以期望降低人力負擔。過去日本的電子支付,消費習慣並不像中國那樣普及,在 7-11 以及Family 龍頭企業的領軍下,原本預設2019開始將會掀起新時代序幕、進入超商電子化的新戰國時代,7pay 也預計今年10月推出獨立的App、並投入近500億日圓的促銷廣告預算;如今發生資安風暴,也讓消費者和企業同樣面臨信心考驗。

4日晚間,警視廳發布新聞表示,已循線在新宿的歌舞伎町逮捕了2名涉案的中國籍人士。...
4日晚間,警視廳發布新聞表示,已循線在新宿的歌舞伎町逮捕了2名涉案的中國籍人士。在 7-11 以及Family 龍頭企業的領軍下,原本預設2019開始將會掀起新時代序幕、進入超商電子化的新戰國時代;如今發生資安風暴,也讓消費者和企業同樣面臨信心考驗。 圖/路透社



收看更多文章,請訂閱轉角國際facebook專頁:

推薦閱讀

「7pay緊急会見」で露呈した3つの大問題。なぜ脆弱なセキュリティ対策で開始したのか(BUSINESS INSIDER JAPAN) - Yahoo!ニュース

セブンペイ不正利用、中国版ツイッター「微博」で指示か 詐欺未遂で中国籍の男2人逮捕

7pay、複数IDで73万円分 他店でも詐取か、警視庁(共同通信) - Yahoo!ニュース

「7pay」被害額30万の男性 “異変はチャージメール” | NHKニュース

最新文章

開羅十月大橋附近的武力鎮壓。 圖/Twitter

歸來的「阿拉伯之春」:革命再來?埃及反政府示威重返「解放廣場」

2019/09/21
20日,為了呼籲重視氣候變遷危機,在下周即將登場的「聯合國氣候行動高峰會」前,世...

國際關鍵字:#GlobalClimateStrike,「全球罷課為氣候」的百萬大串連

2019/09/20
2010年的布瓦吉吉(右一)自焚抗議事件,本阿里(左二)與突尼斯中央政府原本漠不...

「阿拉伯之春」打倒的強人:突尼西亞前總統本阿里病逝,死時83歲

2019/09/20
曾被名導演奉俊昊改編為經典電影《殺人回憶》的南韓重大刑事懸案——1986-199...

鏡頭背後/不放手的《殺人回憶》:33年懸案,南韓鎖定華城連續殺人主嫌

2019/09/19
白人扮成阿拉丁跳舞,算種族歧視嗎?加拿大總理特魯道(Justin Trudeau...

「阿拉伯棕臉」事件:加拿大總理特魯道的種族歧視爭議

2019/09/19
在「控訴記者會」中,馬爾基上校雖然直稱「伊朗是毫無疑問的真正主謀」。但軍方發言人...

戰爭行為?沙烏地公開巡弋飛彈、無人機殘骸,控伊朗「襲擊煉油廠」

2019/09/19

回應

Top