本文將從 7Pay遭組織盜刷事件,討論 7Pay的資訊安全到底出了什麼問題。
電子商務分三種
以台灣為例,台灣的電子商務按法規可以分成:「電子票證」、「第三方支付」和「電子支付」等三種。
1. 電子票證
像悠遊卡、一卡通、icash這種電子錢包,使用前要加值(現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能,這種屬於後者),不一定要記名。
主管機關是金融監督管理委員會(金管會),適用《電子票證發行管理條例》。
2. 第三方支付(現在有超過 5,000家)
台灣的LINE Pay屬於這種,是以「使用者、付款方⇔第三方支付公司⇔商家」的C2B形式,個人用戶之間不能B2B直接進行金錢上的交易。
主管機關是經濟部,沒有法律位階的規範,適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。
3. 電子支付(目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家)
如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後,可以進行個人用戶間B2B轉帳,如果沒有完成第二階段驗證,功能同「第三方支付」的限制。
另外,要使用B2B轉帳功能,該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中,不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。
主管機關是金融監督管理委員會(金管會),適用《電子支付機構管理條例》。
7Pay屬於第三方支付
雖然台灣和日本的法規不同,但從 7Pay「使用前需要先加值」、「不是卡片而是行動載具」這兩點,7Pay屬於「第三方支付」的電子錢包。而且 7Pay只需要綁定既有的 7–11帳號「7iD」,並下載最新版的 7–11「セブン-イレブン」APP,就能開通 7Pay賬戶,完全不需要其他認證,所以 7Pay就是第三方支付而非電子支付。
7–11從一開始就太鬆懈
IT記者本田雅一指出,這次 7Pay事件從 7Pay系統最初的設計、7–11公司內部在出現異狀的第一時間沒有發現問題,以及對於緊急狀況處理全部都太鬆懈。以這次事件為例,本田雅一指出了三大問題:
- 7iD帳號太容易被盜。只要按照正常手續,任何人都可以輕鬆取得、登入他人的 7–11帳號。
- 7–11對於太輕忽重要個資。通常和信用卡資訊有關的金融資料,都會採用兩階段驗證(*)。
7Pay不僅沒有兩階段驗證的設計,想要更改 7–11「7iD」帳密,只要有帳號,不需要輸入出生年月日也能更改密碼。更正確地說,在申請 7iD帳號的時候,出生年月日就不是必填資訊,沒有特別輸入的話就是系統預設日期,這些都可以查得到。
- 最嚴重的一點就是 7–11對於自家的系統太有自信。
7Pay系統上線隔天,就不斷有用戶指出自己的帳號疑似被盜,但 7–11在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
而且 7–11在記者會上不斷強調,自家的 7Pay系統沒有弱點,這些設計都是為了使用者的方便而設計的。
小補充:兩階段驗證
常見的兩階段驗證包括簡訊驗證,或e-mail驗證。系統會寄一封簡訊或e-mail到指定的信箱,使用者需要收信確認驗證密碼,再回到會員登入頁面上輸入這組密碼。
兩階段驗證未必是「最安全」的方式,簡訊驗證或e-mail驗證也有它的缺點,而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay的事件來說,假如 7Pay有加裝兩階段驗證系統,或許就能防止第三者登入 7iD帳號。
事實上,7–11集團旗下就有 7–11銀行,假若 7Pay在上市前和 7–11銀行請益過的話,理論上不會發生這種「連兩階段驗證都沒有」的低級錯誤。有內部人士向《產經新聞》
透露,7–11銀行在 7–11集團裡面是獨立的組織,幾乎不會互相交流,透露了 7–11集團內部橫向整合也有問題。
被第三人改密碼,當事人可能完全不知情
記者會上,有記者質疑是不是會員帳密清單外流,讓外人有機會取得 7iD會員帳號密碼,登入帳號。事實上,這次的事件不需要到「帳密清單外流」,7–11的 7iD會員系統設計上本身就有漏洞。
通常,只要第三者可以取得會員的出生年月日、電話號碼和 e-mail(7iD的會員帳號就是e-mail),就可以更改該名會員的密碼。如果要更改會員密碼,不需要經過兩階段驗證,還可以指定將重設新密碼的e-mail寄到不同於會員帳號的信箱。換言之,如果第三者想要修改某個人的會員密碼,重設新密碼的信可以直接寄到第三者的信箱,過程中當事人可能完全不知情。
對此 7–11回應道,密碼重設的設計上是從使用者使用上的方面來設計,如果大家覺得有需要改善的話,7–11會調整這項作法。
但問題不僅如此。7iD在設計上,如果是從手機APP開設新帳戶,出生年月日這一欄是選填,如果沒有特別修改的話,就會顯示 2019年1月1日,而且這還是會員的公開資訊。如果是從7–11 APP要登入他人帳號的話,也只要輸入電話號碼和e-mail,不需要輸入會員的出生年月日,就可以成功登入。
系統上線前可能根本就沒有測?
金融分析公司Japan Digital Design(ジャパンデジタルデザイン)的CTO楠正憲指出,2014年Google和Facebook就注意到只有帳號和密碼認證不能保障用戶的個資安全,所以現在的個資安全基本上除了帳號密碼之外,還需要加上一次性密碼或生物識別技術驗證。
楠正憲接著提到,像 7–11這次是從既有的 7–11會員卡兼折扣券APP加裝電子錢包功能,對於駭客來說,多了電子錢包功能就很有吸引力,有攻擊、駭入系統的價值,所以一定要提升APP的個資安全和風險管理。
然而,7–11在記者會上不停強調,沒有人在 7Pay上線前的系統測試上指出系統上有問題。但在業界裡面,7Pay明顯是一看就有漏洞的系統,而懷疑 7–11是不是真的有在系統上線前經過弱點測試(脆弱性試験,vulnerability test)。
經濟產業省也開罵
就連日本經濟產業省的無現金推廣室(キャッシュレス推進室)也批評,7Pay這次是從基礎的基礎都沒做,「如果沒有兩階段驗證,任何服務都會暴露在風險之中」。經濟產業省也警告 7–11,如果 7–11沒有盡快找出事發原因並制定防範對策,防止類似的事件再度發生,今年 10月日本消費稅從 8%上升到 10%後,針對電子錢包使用者的點數回饋方案,將不適用於 7Pay用戶。
對於不少消費者來說,面對日本今年 10月消費稅即將多 2%,改用電子錢包付款可以獲得點數回饋,比現金支付划算許多,而有不少人開始改用行動支付(電子錢包)付款,也有不少企業嗅到這個商機,而紛紛加入行動支付市場,7–11就是其中一例。不過,7–11至今還沒有登錄成為經濟產業省的電子錢包紅利點數回饋業者,所以經濟產業省這一番話對於 7–11來說只能算是警告。
過了一天終於改口
隨著 7Pay爭議延燒了一天,7–11在隔天(5)終於放下身段改口,7Pay將會比照其他家行動支付,導入兩階段驗證以及加值金額上限。7–11公關表示,這次收到經濟產業省的提點,指出 7Pay沒有導入兩階段驗證已經違反電子錢包業界的guideline,而決定要在 7Pay導入兩階段驗證。
參考資料
- 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
- セブンペイの不正アクセスはなぜ起きたのか
- セブンペイ「不正アクセス」が与えた深刻影響
- 7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…
- セブンペイ、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし
- セブンペイのポイント還元参加認めない可能性も 経産省
- セブンペイ、2段階認証を導入へ 会見一夜明け一転対策
- 7pay以外は大丈夫か?主要Payログイン時の安全性まとめ