Japonský 7-Eleven ruší mobilní platby, hackeři ukradli 55 mil. jenů

Mezinárodní řetězec obchodů se smíšeným zbožím 7-Eleven si v Japonsku uřízl ostudu. Zdejší pobočka vydala mobilní aplikaci 7Pay, díky které mohli zákazníci platit pomocí mobilního telefonu (zákazník ukáže čárový kód na svém telefonu a systém u 7-Eleven si pak stáhne peníze z přidružené platební karty). Během několika dní od spuštění provozu si ale zákazníci začali stěžovat, že se nemohou přihlásit na své účty a na bankovních účtech se jim objevují i nákupy, které neprovedli a řetězec jim tak neoprávněně naúčtoval věci navíc. Zjistilo se však, že se neobohacoval až tak moc právě řetězec, jako spíše hackeři, kteří dokázali tento systém v krátké době napadnout.

 

 

Ti totiž zjistili, že programátoři aplikace zde ponechali nezvykle funkci, která se ukázala být fatální chybou. Aplikace nabízela možnost obnovu hesla, e-maily pro její obnovu však bylo možné zaslat nejen na adresu obnovovaného účtu, ale pomocí speciálního políčka i na jakoukoli jinou e-mailovou adresu. Hackeři si tak nechávali zasílat odkazy na obnovu hesel k účtům na své e-maily, a pokud znali datum narození oběti a její telefonní číslo, byli schopni dostat se do účtů a nabourat se do nich. To bylo usnadněno i tím, že výchozím datem narození byl 1. leden 2019, kteří si mnozí uživatelé nechali přednastaveno, takže mnohdy nepotřebovali ani zjišťovat data narození.

 

Ve výsledku tak jen stačilo na internetu posbírat volně se povalující data (ze sociálních sítí a různých úniků), spárovat k sobě e-mailové adresy, telefonní čísla, data narození a zkoušet štěstí. Očividně to mnohdy vycházelo. Během pouhých dvou dní bylo napadeno 900 účtů a nakoupeno zboží v přepočtu za zhruba 11,5 milionu Kč. Tokijská policie už zadržela dva mladé čínské muže, jak tímto stylem nakupovali cigarety. Společnost 7-Eleven slíbila vrátit všem obětem "ukradenou" částku.

 

Zdroj: zdnet.com, theverge.com, digitaltrends.com