[推荐]日本 7-Eleven 的电子钱包 App 发生离谱安全漏洞，顾客合计损失 5,500 万日元

日本 7-Eleven 的电子钱包软件「7pay」仅仅上线两天，就不得不因为一个夸张的安全失误而下架了。在官方声明中，该公司表示不法人士一共破解了约 900 位受害者的帐户，并且在 7 月 1 日上线至 7 月 3 日紧急下线之间，总计通过这些帐户一共消费了 5,500 万日元（约 350 万人民币）。

到底是什么厉害的漏洞被骇客利用了呢？据 ZDNet 的报道，原来问题出在忘记密码时的取回操作上。虽然取回密码时系统会要求要你输入申办时的电邮信箱、生日和电话号码，但很诡异的是重设密码的链接寄到什么信箱，是可以自由选填的，而不是自动寄到申办时的那一个。更甚者，在申办时系统会自动以「2019 年 1 月 1 日」作为预设生日，进一步降低猜测的难度。这意味着只要取得一个人的电邮信箱，再通过过去泄漏的个资或社交圈上注册的信息，就不难让系统寄送密码更改信件到不法者指定的信箱了。

日本 7-Eleven 表示会全面赔偿顾客的损失，而日本警方已经逮捕了两名试图以窃取的 7pay ID 付款的中国籍人士。虽然调查还在进行中，但警方相信整起案件背后是有一个国际组织在运作的。日本经济产业省认为 7-Eleven 未能遵守资料安全的规范，并且要求在加强安全措施前，不得再次将 App 上架，只是已经发生了这样的事件后，还能不能挽回消费者的信心，就又是另一回事了...