7-Eleven 日本的支付服务“7pay”被盗刷 5500 万日元 居然是这样远古的代码

日本手机支付服务刚运营两天就出问题 900 人手机或被盗刷

1 日，7-Eleven 日本公司开始提供通过智能手机条形码来购物的支付服务“ 7pay ”，但刚运营三天，该服务就出现问题。4 日，该公司召开紧急记者会，宣布可能有 900 名用户的手机被盗刷，累计金额达 5500 万日元（约人民币 350 万），该公司社长公开道歉，承诺将全额补偿被盗刷的用户。目前，7pay 的充值和新用户注册服务均已停止。

引用「 Yuee 」的解释：

被盗刷的原因是这样的

1.这个系统用邮箱作为账号

2.找回密码只需要使用「生日」

3.生日可以不填，默认为 2019 年 1 月 1 日

4.找回密码时，填错后，没有次数限制

5.找回的密码，可以单独填写一个邮箱接收

只要拿邮箱，用 2019 年 1 月 1 日当生日，找回密码，总有人不改生日，于是就可以改密码了

问题是即使碰撞了邮箱和生日也没那么容易破解用户的邮箱拿到重置邮件啊，好奇一下搜了一下，原来自己关注的推友已经转发了解释，看了让人瞠目结舌：

引用「 @o_lll 」推文：

https://twitter.com/o_lll/status/1146616043181187072

7pay 重置密码时可以选择登录邮箱以外的邮箱接收密码重置链接，也就是只要知道邮箱电话和生日，这个账号就是你的了

另外密码要求是半角小写字母加数字，并且据称重试次数无限制

711 迅速的用 display:none 的方式修复了可以发送密码重置链接去第三方邮箱的 bug #日本 IT 令人堪忧

被隐藏的 field 里填了别的邮箱依旧可以收到密码重置 token，7pay 这事儿可以写进教科书了

然后还有后续精彩：

记者会上

记者问：“为什么 7pay 没有二次验证？”

社长答：“二次验证是什么？”

快要笑到窒息了…

不过不好的是，后来逮捕了两位嫌疑人，中国籍。