日本7–11一夜改口，到底7Pay系統出了什麼問題？

2019/07/06閱讀時間約 9 分鐘

4號，日本 7–11獨自開發的行動支付系統（電子錢包）「7Pay」爆出資安危機，約有 900多名 7Pay用戶的帳號遭盜刷，背後疑似有跨國犯罪集團針對 7Pay設計上的缺失組織犯罪。（細節請參考前文《日本7–11行動支付上線不到一週就出包，背後疑似有跨國集團組織犯罪》）

日本7–11行動支付上線不到一週就出包，背後疑似有跨國集團組織犯罪
本月 1號，日本兩大連鎖超商 7–11和全家分別推出各自的行動支付系統「7Pay」和「FamiPay」（ファミペイ），搶攻日本行動支付市場。medium.com a

本文將從 7Pay遭組織盜刷事件，討論 7Pay的資訊安全到底出了什麼問題。

電子商務分三種

以台灣為例，台灣的電子商務按法規可以分成：「電子票證」、「第三方支付」和「電子支付」等三種。

1. 電子票證

像悠遊卡、一卡通、icash這種電子錢包，使用前要加值（現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能，這種屬於後者），不一定要記名。

主管機關是金融監督管理委員會（金管會），適用《電子票證發行管理條例》。

2. 第三方支付（現在有超過 5,000家）

台灣的LINE Pay屬於這種，是以「使用者、付款方⇔第三方支付公司⇔商家」的C2B形式，個人用戶之間不能B2B直接進行金錢上的交易。

主管機關是經濟部，沒有法律位階的規範，適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。

3. 電子支付（目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家）

如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後，可以進行個人用戶間B2B轉帳，如果沒有完成第二階段驗證，功能同「第三方支付」的限制。

另外，要使用B2B轉帳功能，該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中，不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。

主管機關是金融監督管理委員會（金管會），適用《電子支付機構管理條例》。

7Pay屬於第三方支付

雖然台灣和日本的法規不同，但從 7Pay「使用前需要先加值」、「不是卡片而是行動載具」這兩點，7Pay屬於「第三方支付」的電子錢包。而且 7Pay只需要綁定既有的 7–11帳號「7iD」，並下載最新版的 7–11「セブン-イレブン」APP，就能開通 7Pay賬戶，完全不需要其他認證，所以 7Pay就是第三方支付而非電子支付。

7–11從一開始就太鬆懈

IT記者本田雅一指出，這次 7Pay事件從 7Pay系統最初的設計、7–11公司內部在出現異狀的第一時間沒有發現問題，以及對於緊急狀況處理全部都太鬆懈。以這次事件為例，本田雅一指出了三大問題：

7iD帳號太容易被盜。只要按照正常手續，任何人都可以輕鬆取得、登入他人的 7–11帳號。
7–11對於太輕忽重要個資。通常和信用卡資訊有關的金融資料，都會採用兩階段驗證（＊）。
7Pay不僅沒有兩階段驗證的設計，想要更改 7–11「7iD」帳密，只要有帳號，不需要輸入出生年月日也能更改密碼。更正確地說，在申請 7iD帳號的時候，出生年月日就不是必填資訊，沒有特別輸入的話就是系統預設日期，這些都可以查得到。
最嚴重的一點就是 7–11對於自家的系統太有自信。
7Pay系統上線隔天，就不斷有用戶指出自己的帳號疑似被盜，但 7–11在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
而且 7–11在記者會上不斷強調，自家的 7Pay系統沒有弱點，這些設計都是為了使用者的方便而設計的。

小補充：兩階段驗證
常見的兩階段驗證包括簡訊驗證，或e-mail驗證。系統會寄一封簡訊或e-mail到指定的信箱，使用者需要收信確認驗證密碼，再回到會員登入頁面上輸入這組密碼。
兩階段驗證未必是「最安全」的方式，簡訊驗證或e-mail驗證也有它的缺點，而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay的事件來說，假如 7Pay有加裝兩階段驗證系統，或許就能防止第三者登入 7iD帳號。

事實上，7–11集團旗下就有 7–11銀行，假若 7Pay在上市前和 7–11銀行請益過的話，理論上不會發生這種「連兩階段驗證都沒有」的低級錯誤。有內部人士向《產經新聞》透露，7–11銀行在 7–11集團裡面是獨立的組織，幾乎不會互相交流，透露了 7–11集團內部橫向整合也有問題。

被第三人改密碼，當事人可能完全不知情

記者會上，有記者質疑是不是會員帳密清單外流，讓外人有機會取得 7iD會員帳號密碼，登入帳號。事實上，這次的事件不需要到「帳密清單外流」，7–11的 7iD會員系統設計上本身就有漏洞。

通常，只要第三者可以取得會員的出生年月日、電話號碼和 e-mail（7iD的會員帳號就是e-mail），就可以更改該名會員的密碼。如果要更改會員密碼，不需要經過兩階段驗證，還可以指定將重設新密碼的e-mail寄到不同於會員帳號的信箱。換言之，如果第三者想要修改某個人的會員密碼，重設新密碼的信可以直接寄到第三者的信箱，過程中當事人可能完全不知情。

對此 7–11回應道，密碼重設的設計上是從使用者使用上的方面來設計，如果大家覺得有需要改善的話，7–11會調整這項作法。

「唉呀！你的密碼應該要有大寫英文和數字」密碼專家：拋棄這種規定吧 | DQ 地球圖輯隊
每次設置一個新帳號，系統總會溫馨提示使用者要記得用一組有英數混合、混雜大小寫的密碼，等到你把帳號設定好，有的網站還會幾個月固定提醒你一次「密碼太舊了記得改一下喔！」。種種關於網路密碼的規定總是令人焦頭爛額，不過想到這可能是在保護我們的帳號安…dq.yam.com a

但問題不僅如此。7iD在設計上，如果是從手機APP開設新帳戶，出生年月日這一欄是選填，如果沒有特別修改的話，就會顯示 2019年1月1日，而且這還是會員的公開資訊。如果是從7–11 APP要登入他人帳號的話，也只要輸入電話號碼和e-mail，不需要輸入會員的出生年月日，就可以成功登入。

系統上線前可能根本就沒有測？

金融分析公司Japan Digital Design（ジャパンデジタルデザイン）的CTO楠正憲指出，2014年Google和Facebook就注意到只有帳號和密碼認證不能保障用戶的個資安全，所以現在的個資安全基本上除了帳號密碼之外，還需要加上一次性密碼或生物識別技術驗證。

楠正憲接著提到，像 7–11這次是從既有的 7–11會員卡兼折扣券APP加裝電子錢包功能，對於駭客來說，多了電子錢包功能就很有吸引力，有攻擊、駭入系統的價值，所以一定要提升APP的個資安全和風險管理。

然而，7–11在記者會上不停強調，沒有人在 7Pay上線前的系統測試上指出系統上有問題。但在業界裡面，7Pay明顯是一看就有漏洞的系統，而懷疑 7–11是不是真的有在系統上線前經過弱點測試（脆弱性試験，vulnerability test）。

經濟產業省也開罵

就連日本經濟產業省的無現金推廣室（キャッシュレス推進室）也批評，7Pay這次是從基礎的基礎都沒做，「如果沒有兩階段驗證，任何服務都會暴露在風險之中」。經濟產業省也警告 7–11，如果 7–11沒有盡快找出事發原因並制定防範對策，防止類似的事件再度發生，今年 10月日本消費稅從 8%上升到 10%後，針對電子錢包使用者的點數回饋方案，將不適用於 7Pay用戶。

對於不少消費者來說，面對日本今年 10月消費稅即將多 2％，改用電子錢包付款可以獲得點數回饋，比現金支付划算許多，而有不少人開始改用行動支付（電子錢包）付款，也有不少企業嗅到這個商機，而紛紛加入行動支付市場，7–11就是其中一例。不過，7–11至今還沒有登錄成為經濟產業省的電子錢包紅利點數回饋業者，所以經濟產業省這一番話對於 7–11來說只能算是警告。