Khách hàng 7-Eleven Nhật Bản mất nửa triệu USD vì lỗi ứng dụng

Gần 900 khách hàng của chuỗi cửa hàng tiện lợi 7-Eleven Nhật Bản đã mất 55 triệu yen (tương đương 510.000 USD) sau khi hacker tấn công tài khoản ứng dụng 7pay và thực hiện nhiều giao dịch bất hợp pháp dưới tên của họ.

(Ảnh: Nikkei Asian Review)

Các hacker theo đó đã tận dụng lỗi bảo mật trong thiết kế ứng dụng thanh toán 7pay mới được 7-Eleven Nhật Bản ra mắt tại quốc gia này hôm 01/07.

Theo ZDNet, ứng dụng di động 7pay được thiết kế để hiển thị một mã vạch trên màn hình khi khách hành thanh toán tại quầy của 7-Eleven. Thu ngân sau đó quét mã vạch này và khoản thanh toán được trừ từ thẻ tín dụng hoặc thẻ ghi nợ mà người dùng đã lưu trong tài khoản của mình.

Dù vậy, ứng dụng này có một tính năng đặt lại mật khẩu được thiết kế không được đánh giá cao. Nó cho phép bất kì ai yêu cầu đặt lại mật khẩu cho tài khoản người khác, với tài khoản đặt lại được chuyển vào email của chính họ, thay vì chủ tài khoản đích thực.

Hacker theo đó chỉ cần biết đại chỉ email, ngày sinh và số điện thoại của người dùng 7pay. Trong mục đặt lại mật khẩu, ứng dụng của 7-Eleven cho phép hacker đề nghị đường dẫn đặt lại mật khẩu được gửi về một địa chỉ email bên thứ ba mà không gặp bất kì khó khăn gì.

Bên cạnh đó, nếu nếu người dùng yêu nhập vào ngày sinh, ứng dụng này cũng sẽ sử dụng thông tin mặc định là 01/01/2019 khiến việc tấn công thậm chí còn dễ dàng hơn, theo Yahoo Japan.

Với việc thông tin người Nhật Bản đã có quá nhiều trên Internet từ những vụ tấn công trước, tất cả những gì hacker cần làm là tổng hợp chúng lại và thực hiện tấn công.

Về phần mình, 7-Eleven Nhật Bản đã tắt dịch vụ 7pay vào ngày 3/7. Công ty này cũng cam kết sẽ đền bù cho tất cả người dùng bị mất tiền trong vụ việc.