昨天全日本最大的新闻,应该是「7pay」不正利用事件了吧。 我昨天晚上看到了各种各样的新闻出现,也听到了这个应用设计漏洞方面的解说,打算把这些信息整理一下。
事件概要
日本711便利店在7月1日正式推出了二维码支付应用「7pay」。 然而第二天,就出现了大规模的盗用支付事件,预计被害者至少900人,损失达到5500万日元(约人民币340万)。 盗用支付的原因是其应用的ID设计; 被害者的ID和密码被人盗取,被害者账号里绑定的信用卡被人恶意充值。
截止到我执笔这篇文章的7月5日12:00,最新的信息显示, 「7pay」已经停止了所有充值服务,正在进行原因调查。恢复服务时间不明。
第三者可以重置密码
「7pay」好好的一个追逐现在日本的二维码支付风潮的电子支付应用,怎么会出现这么大的事故呢。 最简单易懂的问题就在于,第三者可以重置密码。
上图是7&i Holdings旗下(711便利店母公司)的EC网站,它的会员账户「seven ID」与「7pay」账户通用。 在点开「忘记密码」界面时,你会发现一个匪夷所思的填空项,「送付先メールアドレス」,也就是指定收信邮箱。 这是在任何一个会员登录系统里都从来没有出现过的项目。 有了指定邮件收信地址之后,只要第三者知道了用户的生日、电话号码和会员ID之后,就可以把重置密码的画面URL发到第三者的邮箱里。 你好好地用邮箱注册了一个账户,结果重置密码还可以发送到别人的邮箱里,这种蠢设计简直闻所未闻。
社长不知「双重认证」为何?
7月4日「7pay」举行了紧急记者会见,针对此事件进行了谢罪并答记者问。 
会见中途,记者提问道,『用户登录时普遍被采用的双重认证,7pay为什么没有使用?』 结果小林强社长一时语塞,『双重认证…………?』 这也就表明,连通贩和电子支付系统的基础IT知识都完全不懂的一个经营者,站在了「7pay」的社长的位子上。 社长后续解释道,『我们所理解的7pay基本设计是这样的。首先注册seven ID,seven ID功能的其中之一是711手机应用上的7pay,7月1日7pay服务上线之后,原则上seven ID就可以和711手机应用以及7pay连动登录了。 『从这个角度来讲,双重什么什么的,不好意思,就我自身来讲,我并没有意识到这个问题。』
事后对应
事件发生后,「忘记密码」页面中的「送付先メールアドレス」收件邮箱的项目被删除了。不过在初期对应的时候,网上的评论指出,他们「只是修改了CSS让输入栏非表示了而已」(CSS只定义网页的设计样式,并不是从根本上解决问题)。被隐藏的输入栏里填了别的邮箱,依旧可以收到重置密码的页面URL。 我刚才看了一下页面的代码,输入栏已经完全删除了,但是就我的三脚猫IT知识水平认知里,都能看出来这个代码很初级。
在7月4日的记者会见中,社长还发出了一个愚蠢宣言,『平常利用手机支付的用户,如果需要用PC来更换密码的话,手机专用邮箱可能在PC端就打不开了。我是为了这样的用户才设计了这个输入栏。』
已逮捕的盗用事件
很遗憾,「7pay」的盗用事件,首先被逮捕的是两名中国人。 这两位中国人在新宿歌舞伎町的711一家店铺内,购买了146条电子烟的烟弹,总额73万日元(约人民币4.5万)。 两人盗用了7~8个人的ID和密码购买烟弹。 在支付完毕后,他们对店员说稍后再来取货并离开店铺。被盗用的其中一名受害者发现了支付记录后到该店铺来询问时,发现了这桩盗用事件。 两嫌疑者声称,他们是受人指使并获取相应报酬的;具体情况还在调查当中。
是7pay的问题还是日本IT企业的通病?
7月1日「7pay」上线的同时,全家的「fami pay」也上线了。 之前711导入了Mercari的「meri pay」,再之前还有「line pay」和「paypay」。 一时间,日本的二维码支付服务群雄乱立。 「7pay」作为后期才进入市场的一员,也想赶紧分这个热门市场的一杯羹,才会选择在7月1日而不是7月11日匆忙上线吧。
从社长的愚蠢发言中,我们可以推断出, 即使是开发人员或顾客意识到一些问题,即使Business部门听取了意见, 也不能保证经营者和管理人员站在最优先保护用户的权益的角度上做出意思决定。 不光光是7pay,日本的行政机关和大手企业也如出一辙。 公司社内一般不会雇佣大量开发人员,大多依存于vendor,外部公司来进行系统开发。想必「7pay」也是这样的形式交给vendor来进行开发。 对于IT技术和安全设计方面有较强意识的经营者和管理人员其实并不在少数。 然而,在有限的预算工数和期限的条件下,在系统开发过程中不断地缩小或减少最初达成合意的需求项目,绝对不仅仅只有「7pay」这一个企业。 现在出问题了再来谴责它的蠢也为时已晚,今后还会不会有相似的问题出现呢。 也不知道这个事件会不会给日本企业敲响一记警钟。
1
2
3
4
5
6
Referrences:
- 「7pay」官方主页:https://www.7pay.co.jp/
- 「7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も」https://www.itmedia.co.jp/news/articles/1907/04/news079.html
- 8796n Twitter: https://twitter.com/8796n/status/1146602173511262208
- 「7pay(セブンペイ)緊急会見、「そもそも二段階認証を知らない」ヤバさが露見してしまう」 https://buzzap.jp/news/20190704-7pay-trouble-2/
- 「7pay不正使用事件 複数IDでたばこカートリッジ146カートン決済」https://news.livedoor.com/article/detail/16726258/