日本7–11一夜改口,到底7Pay系統出了什麼問題?

閱讀時間約 9 分鐘
4號,日本 7–11獨自開發的行動支付系統(電子錢包)「7Pay」爆出資安危機,約有 900多名 7Pay用戶的帳號遭盜刷,背後疑似有跨國犯罪集團針對 7Pay設計上的缺失組織犯罪。(細節請參考前文《日本7–11行動支付上線不到一週就出包,背後疑似有跨國集團組織犯罪》)
日本7–11行動支付上線不到一週就出包,背後疑似有跨國集團組織犯罪
本月 1號,日本兩大連鎖超商 7–11和全家分別推出各自的行動支付系統「7Pay」和「FamiPay」(ファミペイ),搶攻日本行動支付市場。medium.coma
本文將從 7Pay遭組織盜刷事件,討論 7Pay的資訊安全到底出了什麼問題。

電子商務分三種

以台灣為例,台灣的電子商務按法規可以分成:「電子票證」、「第三方支付」和「電子支付」等三種。

1. 電子票證

像悠遊卡、一卡通、icash這種電子錢包,使用前要加值(現在有些銀行或信用卡推出綁定銀行戶頭的自動加值功能,這種屬於後者),不一定要記名。
主管機關是金融監督管理委員會(金管會),適用《電子票證發行管理條例》。

2. 第三方支付(現在有超過 5,000家)

台灣的LINE Pay屬於這種,是以「使用者、付款方⇔第三方支付公司⇔商家」的C2B形式,個人用戶之間不能B2B直接進行金錢上的交易。
主管機關是經濟部,沒有法律位階的規範,適用經濟部法規命令〈第三方支付服務定型化契約應記載及不得記載事項〉及〈信用卡收單機構簽訂『提供代收代付服務平台業者』為特約商店自律規範〉。

3. 電子支付(目前只有橘子支付、國際連、歐付寶、智付寶、ezPay台灣支付和街口支付這六家)

如果完成第二階段銀行帳戶加國民身分證的身分驗證完成後,可以進行個人用戶間B2B轉帳,如果沒有完成第二階段驗證,功能同「第三方支付」的限制。
另外,要使用B2B轉帳功能,該用戶一定要先從銀行帳戶轉帳到電子支付的帳戶當中,不得使用信用卡轉帳、儲值電子支付帳戶內的餘額。
主管機關是金融監督管理委員會(金管會),適用《電子支付機構管理條例》。

7Pay屬於第三方支付

雖然台灣和日本的法規不同,但從 7Pay「使用前需要先加值」、「不是卡片而是行動載具」這兩點,7Pay屬於「第三方支付」的電子錢包。而且 7Pay只需要綁定既有的 7–11帳號「7iD」,並下載最新版的 7–11「セブン-イレブン」APP,就能開通 7Pay賬戶,完全不需要其他認證,所以 7Pay就是第三方支付而非電子支付。

7–11從一開始就太鬆懈

IT記者本田雅一指出,這次 7Pay事件從 7Pay系統最初的設計、7–11公司內部在出現異狀的第一時間沒有發現問題,以及對於緊急狀況處理全部都太鬆懈。以這次事件為例,本田雅一指出了三大問題:
  1. 7iD帳號太容易被盜。只要按照正常手續,任何人都可以輕鬆取得、登入他人的 7–11帳號。
  2. 7–11對於太輕忽重要個資。通常和信用卡資訊有關的金融資料,都會採用兩階段驗證(*)。
    7Pay不僅沒有兩階段驗證的設計,想要更改 7–11「7iD」帳密,只要有帳號,不需要輸入出生年月日也能更改密碼。更正確地說,在申請 7iD帳號的時候,出生年月日就不是必填資訊,沒有特別輸入的話就是系統預設日期,這些都可以查得到。
  3. 最嚴重的一點就是 7–11對於自家的系統太有自信。
    7Pay系統上線隔天,就不斷有用戶指出自己的帳號疑似被盜,但 7–11在第一時間的作法只是暫停該帳號的信用卡、現金卡直接轉帳儲值功能。
    而且 7–11在記者會上不斷強調,自家的 7Pay系統沒有弱點,這些設計都是為了使用者的方便而設計的。
小補充:兩階段驗證
常見的兩階段驗證包括簡訊驗證,或e-mail驗證。系統會寄一封簡訊或e-mail到指定的信箱,使用者需要收信確認驗證密碼,再回到會員登入頁面上輸入這組密碼。
兩階段驗證未必是「最安全」的方式,簡訊驗證或e-mail驗證也有它的缺點,而且兩階段驗證對於使用者來說「操作上覺得很麻煩」。但像這次 7Pay的事件來說,假如 7Pay有加裝兩階段驗證系統,或許就能防止第三者登入 7iD帳號。
事實上,7–11集團旗下就有 7–11銀行,假若 7Pay在上市前和 7–11銀行請益過的話,理論上不會發生這種「連兩階段驗證都沒有」的低級錯誤。有內部人士向《產經新聞》透露,7–11銀行在 7–11集團裡面是獨立的組織,幾乎不會互相交流,透露了 7–11集團內部橫向整合也有問題。

被第三人改密碼,當事人可能完全不知情

記者會上,有記者質疑是不是會員帳密清單外流,讓外人有機會取得 7iD會員帳號密碼,登入帳號。事實上,這次的事件不需要到「帳密清單外流」,7–11的 7iD會員系統設計上本身就有漏洞。
通常,只要第三者可以取得會員的出生年月日、電話號碼和 e-mail(7iD的會員帳號就是e-mail),就可以更改該名會員的密碼。如果要更改會員密碼,不需要經過兩階段驗證,還可以指定將重設新密碼的e-mail寄到不同於會員帳號的信箱。換言之,如果第三者想要修改某個人的會員密碼,重設新密碼的信可以直接寄到第三者的信箱,過程中當事人可能完全不知情。
對此 7–11回應道,密碼重設的設計上是從使用者使用上的方面來設計,如果大家覺得有需要改善的話,7–11會調整這項作法。
「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧 | DQ 地球圖輯隊
每次設置一個新帳號,系統總會溫馨提示使用者要記得用一組有英數混合、混雜大小寫的密碼,等到你把帳號設定好,有的網站還會幾個月固定提醒你一次「密碼太舊了記得改一下喔!」。種種關於網路密碼的規定總是令人焦頭爛額,不過想到這可能是在保護我們的帳號安…dq.yam.coma
但問題不僅如此。7iD在設計上,如果是從手機APP開設新帳戶,出生年月日這一欄是選填,如果沒有特別修改的話,就會顯示 2019年1月1日,而且這還是會員的公開資訊。如果是從7–11 APP要登入他人帳號的話,也只要輸入電話號碼和e-mail,不需要輸入會員的出生年月日,就可以成功登入。

系統上線前可能根本就沒有測?

金融分析公司Japan Digital Design(ジャパンデジタルデザイン)的CTO楠正憲指出,2014年Google和Facebook就注意到只有帳號和密碼認證不能保障用戶的個資安全,所以現在的個資安全基本上除了帳號密碼之外,還需要加上一次性密碼或生物識別技術驗證。
楠正憲接著提到,像 7–11這次是從既有的 7–11會員卡兼折扣券APP加裝電子錢包功能,對於駭客來說,多了電子錢包功能就很有吸引力,有攻擊、駭入系統的價值,所以一定要提升APP的個資安全和風險管理。
然而,7–11在記者會上不停強調,沒有人在 7Pay上線前的系統測試上指出系統上有問題。但在業界裡面,7Pay明顯是一看就有漏洞的系統,而懷疑 7–11是不是真的有在系統上線前經過弱點測試(脆弱性試験,vulnerability test)。

經濟產業省也開罵

就連日本經濟產業省的無現金推廣室(キャッシュレス推進室)也批評,7Pay這次是從基礎的基礎都沒做,「如果沒有兩階段驗證,任何服務都會暴露在風險之中」。經濟產業省也警告 7–11,如果 7–11沒有盡快找出事發原因並制定防範對策,防止類似的事件再度發生,今年 10月日本消費稅從 8%上升到 10%後,針對電子錢包使用者的點數回饋方案,將不適用於 7Pay用戶。
對於不少消費者來說,面對日本今年 10月消費稅即將多 2%,改用電子錢包付款可以獲得點數回饋,比現金支付划算許多,而有不少人開始改用行動支付(電子錢包)付款,也有不少企業嗅到這個商機,而紛紛加入行動支付市場,7–11就是其中一例。不過,7–11至今還沒有登錄成為經濟產業省的電子錢包紅利點數回饋業者,所以經濟產業省這一番話對於 7–11來說只能算是警告。

過了一天終於改口

隨著 7Pay爭議延燒了一天,7–11在隔天(5)終於放下身段改口,7Pay將會比照其他家行動支付,導入兩階段驗證以及加值金額上限。7–11公關表示,這次收到經濟產業省的提點,指出 7Pay沒有導入兩階段驗證已經違反電子錢包業界的guideline,而決定要在 7Pay導入兩階段驗證。

參考資料

  1. 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
  2. セブンペイの不正アクセスはなぜ起きたのか
  3. セブンペイ「不正アクセス」が与えた深刻影響
  4. 7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…
  5. セブンペイ、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし
  6. セブンペイのポイント還元参加認めない可能性も 経産省
  7. セブンペイ、2段階認証を導入へ 会見一夜明け一転対策
  8. 7pay以外は大丈夫か?主要Payログイン時の安全性まとめ
看到好玩有趣、各種傻眼的日本新聞就會隨手翻翻的日文新聞編譯平台。
留言0
查看全部
發表第一個留言支持創作者!
自從 4月東京・池袋的高齡駕駛暴走事件以來,高齡駕駛問題備受討論。高齡駕駛的認知能力退化、運動・神經反射能力衰退,是造成高齡駕駛交通事故的原因,不少人因而呼籲高齡駕駛主動繳回駕照。然而,對於住在距離商圈較遠的高齡者來說,平常想要外出購物或到醫院看病,不能沒有汽車代步⋯⋯
本週三(8)上午 10點15分左右,滋賀縣大津市的琵琶湖畔縣道さざなみ街道大萱六丁目交叉口發生一起車禍。一輛在岔路口準備右轉的輕型汽車A和來自對向的直行車輛B發生擦撞,造成直行車輛B衝向人行道,撞上當時正在人行道上等紅綠燈的レイモンド淡海保育園隊伍,包含 13名 2–3歲的幼童和 3名保育士⋯⋯
26號,日本厚生勞動省公布 2017年度兒少保護中心(児童養護施設)未成年性暴力事件總計達 732件,當事者(加害者與受害者)累積人次達 1,371人。這些事件的加害者與受害者皆為受到兒少保護中心照顧的未成年,當中有 687起發生於兒少保護中心,
隨著外籍移工在留資格(簽證)「特定技能」本月正式上路,26號日本政府證實兩名來自柬埔寨的女性成為第一組取得「特定技能 1號」在留資格的「技能實習生」⋯⋯
西九条交通非常便利,旅館業應該要很發達才是。然而,西九条即使有很多的空屋,卻受限於建築法規難以進行大型開發,而讓西九条附近完全沒有任何一間大型旅館,是「完全沒有」。此時看到西九条發展潛力的人,就是大阪新創不動產公司「クジラ株式会社」(下稱「クジラ」)。
2008年,日本總務省推出了「故鄉納稅」(ふるさと納税)。簡單來說,只要捐款給自己想要支持的地方政府,捐款費用扣除 2,000日圓後,其餘部分可以用來抵銷該年度的住民稅與所得稅。同時,各地地方政府為了答謝來自各地的善心捐款人士,會回送當地特產給這些捐款者們⋯⋯
自從 4月東京・池袋的高齡駕駛暴走事件以來,高齡駕駛問題備受討論。高齡駕駛的認知能力退化、運動・神經反射能力衰退,是造成高齡駕駛交通事故的原因,不少人因而呼籲高齡駕駛主動繳回駕照。然而,對於住在距離商圈較遠的高齡者來說,平常想要外出購物或到醫院看病,不能沒有汽車代步⋯⋯
本週三(8)上午 10點15分左右,滋賀縣大津市的琵琶湖畔縣道さざなみ街道大萱六丁目交叉口發生一起車禍。一輛在岔路口準備右轉的輕型汽車A和來自對向的直行車輛B發生擦撞,造成直行車輛B衝向人行道,撞上當時正在人行道上等紅綠燈的レイモンド淡海保育園隊伍,包含 13名 2–3歲的幼童和 3名保育士⋯⋯
26號,日本厚生勞動省公布 2017年度兒少保護中心(児童養護施設)未成年性暴力事件總計達 732件,當事者(加害者與受害者)累積人次達 1,371人。這些事件的加害者與受害者皆為受到兒少保護中心照顧的未成年,當中有 687起發生於兒少保護中心,
隨著外籍移工在留資格(簽證)「特定技能」本月正式上路,26號日本政府證實兩名來自柬埔寨的女性成為第一組取得「特定技能 1號」在留資格的「技能實習生」⋯⋯
西九条交通非常便利,旅館業應該要很發達才是。然而,西九条即使有很多的空屋,卻受限於建築法規難以進行大型開發,而讓西九条附近完全沒有任何一間大型旅館,是「完全沒有」。此時看到西九条發展潛力的人,就是大阪新創不動產公司「クジラ株式会社」(下稱「クジラ」)。
2008年,日本總務省推出了「故鄉納稅」(ふるさと納税)。簡單來說,只要捐款給自己想要支持的地方政府,捐款費用扣除 2,000日圓後,其餘部分可以用來抵銷該年度的住民稅與所得稅。同時,各地地方政府為了答謝來自各地的善心捐款人士,會回送當地特產給這些捐款者們⋯⋯
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
Thumbnail
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位 王多多的點評 「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。 我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
Thumbnail
本篇文章將一次學會從iPhone變更為日本區的錢包以及設定日本區的App Store,從iPhone下載零錢包中的nanaco虛擬卡,下載nanaco卡 App後將點數兌換成儲值金,去日本用iPhone中的nanaco卡也能拿回饋!密技全攻略全部保留教會你,快一起來學吧!
Thumbnail
之前海苔醬一直想買個容量一千左右的冷水壺,剛好看到7-11有日本貓福珊迪貓萌變裝集點送活動,裡面推出一系列冷水壺商品,正好有符合自己的需求就立刻購入一組!當時看到圖案就覺得這貓咪好眼熟,但卻不知道這貓咪就是這幾年爆紅的貓福珊迪! 直到拿到冷水壺實品後仔細一看貓咪模樣,才突然覺得好萌好可愛呀!這
Thumbnail
日本之旅後會感染嚴重的廢人症,很難治癒! 我在這邊呼籲請大家不要去日本了(反串要註明☝️)
Thumbnail
又到了Norika最喜歡的夏天,雖然實在很炎熱但夏天總是有很多豐富的戶外活動可以玩,所以真的每到夏天都好期待 今天終於很多活動都恢復舉辦了 所以我慢慢地整理起來,給自己做個紀錄 首先是藝術水族館-銀座三越9F 之前一直在日本橋的金魚展,今年移到銀座舉辦了,我疫情之前有參加過,真的是又消暑又奇幻的空間
Thumbnail
日本自由行就看這篇!!!日本開放入境免簽自由行了!日本NHK 22 日報導,首相岸田文雄在美國紐約召開記者會,宣布針對新冠肺炎疫情的最新邊境措施,將從10月11日起放寬管制,開放自由行及短期免簽證旅客入境,解除個人旅行禁令、取消單日入境人數上限,推動日本國內旅遊補助,要靠支援旅遊業刺激全國消費。 ▌
Thumbnail
VOGUE JAPANVogue日本版2022年11月號,以跳脫過去既定刻板界線為概念,邀請到四位模特兒一起穿上Gucci西裝進行拍攝。
Thumbnail
對於懷抱創業夢想的人來說,加盟連鎖體系是一條捷徑。殊不知,即便是全球知名的連鎖企業7-11便利商店也是有種種不足為外人道的秘辛。
Thumbnail
東京的第三天,安排了鎌倉一日遊,這景點也是Yusuki推薦的,雖然一個人參加這種一日遊會有點怪,但我很擔心這趟旅遊的內容只有吃與喝。 因此我強迫自己參加這樣的一日遊,讓此行不至於這麼膚淺。
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
Thumbnail
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位 王多多的點評 「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。 我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
Thumbnail
本篇文章將一次學會從iPhone變更為日本區的錢包以及設定日本區的App Store,從iPhone下載零錢包中的nanaco虛擬卡,下載nanaco卡 App後將點數兌換成儲值金,去日本用iPhone中的nanaco卡也能拿回饋!密技全攻略全部保留教會你,快一起來學吧!
Thumbnail
之前海苔醬一直想買個容量一千左右的冷水壺,剛好看到7-11有日本貓福珊迪貓萌變裝集點送活動,裡面推出一系列冷水壺商品,正好有符合自己的需求就立刻購入一組!當時看到圖案就覺得這貓咪好眼熟,但卻不知道這貓咪就是這幾年爆紅的貓福珊迪! 直到拿到冷水壺實品後仔細一看貓咪模樣,才突然覺得好萌好可愛呀!這
Thumbnail
日本之旅後會感染嚴重的廢人症,很難治癒! 我在這邊呼籲請大家不要去日本了(反串要註明☝️)
Thumbnail
又到了Norika最喜歡的夏天,雖然實在很炎熱但夏天總是有很多豐富的戶外活動可以玩,所以真的每到夏天都好期待 今天終於很多活動都恢復舉辦了 所以我慢慢地整理起來,給自己做個紀錄 首先是藝術水族館-銀座三越9F 之前一直在日本橋的金魚展,今年移到銀座舉辦了,我疫情之前有參加過,真的是又消暑又奇幻的空間
Thumbnail
日本自由行就看這篇!!!日本開放入境免簽自由行了!日本NHK 22 日報導,首相岸田文雄在美國紐約召開記者會,宣布針對新冠肺炎疫情的最新邊境措施,將從10月11日起放寬管制,開放自由行及短期免簽證旅客入境,解除個人旅行禁令、取消單日入境人數上限,推動日本國內旅遊補助,要靠支援旅遊業刺激全國消費。 ▌
Thumbnail
VOGUE JAPANVogue日本版2022年11月號,以跳脫過去既定刻板界線為概念,邀請到四位模特兒一起穿上Gucci西裝進行拍攝。
Thumbnail
對於懷抱創業夢想的人來說,加盟連鎖體系是一條捷徑。殊不知,即便是全球知名的連鎖企業7-11便利商店也是有種種不足為外人道的秘辛。
Thumbnail
東京的第三天,安排了鎌倉一日遊,這景點也是Yusuki推薦的,雖然一個人參加這種一日遊會有點怪,但我很擔心這趟旅遊的內容只有吃與喝。 因此我強迫自己參加這樣的一日遊,讓此行不至於這麼膚淺。