1 日,7-Eleven 日本公司开始提供通过智能手机条形码来购物的支付服务“ 7pay ”,但刚运营三天,该服务就出现问题。4 日,该公司召开紧急记者会,宣布可能有 900 名用户的手机被盗刷,累计金额达 5500 万日元(约人民币 350 万),该公司社长公开道歉,承诺将全额补偿被盗刷的用户。目前,7pay 的充值和新用户注册服务均已停止。
被盗刷的原因是这样的
1.这个系统用邮箱作为账号
2.找回密码只需要使用「生日」
3.生日可以不填,默认为 2019 年 1 月 1 日
4.找回密码时,填错后,没有次数限制
5.找回的密码,可以单独填写一个邮箱接收
只要拿邮箱,用 2019 年 1 月 1 日当生日,找回密码,总有人不改生日,于是就可以改密码了
问题是即使碰撞了邮箱和生日也没那么容易破解用户的邮箱拿到重置邮件啊,好奇一下搜了一下,原来自己关注的推友已经转发了解释,看了让人瞠目结舌:
https://twitter.com/o_lll/status/1146616043181187072
7pay 重置密码时可以选择登录邮箱以外的邮箱接收密码重置链接,也就是只要知道邮箱电话和生日,这个账号就是你的了
另外密码要求是半角小写字母加数字,并且据称重试次数无限制
711 迅速的用 display:none 的方式修复了可以发送密码重置链接去第三方邮箱的 bug #日本 IT 令人堪忧
被隐藏的 field 里填了别的邮箱依旧可以收到密码重置 token,7pay 这事儿可以写进教科书了
然后还有后续精彩:
记者会上
记者问:“为什么 7pay 没有二次验证?”
社长答:“二次验证是什么?”
快要笑到窒息了…
不过不好的是,后来逮捕了两位嫌疑人,中国籍。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.