زیان نیم میلیون دلاری مشتریان ژاپنی به خاطر نقص امنیتی اپ پرداخت آنلاین

۱۳۹۸ يکشنبه ۱۶ تير

تقریبا 900 مشتری فروشگاه‌های زنجیره‌ای سون الون (7Eleven) ژاپن به خاطر ربوده شدن اکانت‌هایشان در اپ پرداخت آنلاین 7pay مجموعا 510 هزار دلار خسارت دیدند.

عامل این اتفاق یک مشکل امنیتی در طراحی برنامه پرداخت آنلاین 7pay این شرکت بوده که از یک هفته پیش راه‌اندازی شد و خدمات دهی به کاربران را آغاز کرد. طراحی این اپ به گونه‌ای بود که در هنگام رسیدن کاربران به باجه پرداخت فروشگاه، بارکدی روی نمایشگر آن‌ها نشان داده می‌شد. سپس باجه‌دار با اسکن این بارکد اجناس خریداری شده کاربر را به حساب 7pay او انتقال داده و مبلغ خرید از حساب او کسر می‌شد.

با این حال این اپ به یک قابلیت بازیابی پسورد مجهز بود که طراحی بسیار ضعیفی داشت. در واقع به افراد اجازه می‌داد برای اکانت اشخاص دیگر درخواست پسورد جدید بدهند و پسورد جدید هم به جای ایمیل صاحب اکانت به ایمیل خودشان ارسال شود.

با این اوصاف یک هکر فقط به آدرس ایمیل، تاریخ تولد و شماره تلفن شخص هدف نیاز داشت تا بتواند حساب کاربری او را تحت کنترل بگیرد و بخشی از پروسه بازیابی پسورد هم او را قادر می‌ساخت که برای دریافت پسورد جدید، یک ایمیل شخص ثالث (یعنی ایمیل خودش) را وارد کند و پسورد جدید را بدون دردسر تحویل بگیرد.

اپ پرداخت آنلاین

البته رخنه امنیتی این برنامه به همینجا ختم نمی‌شود چرا که اگر هکر تاریخ تولد شخص هدف را هم در اختیار نداشت اپ به صورت پیش‌فرض تاریخ 1 ژانویه 2019 را در نظر می‌گرفت که پروسه هک اکانت اشخاص برای هکرها راحت‌تر هم بشود.

با وجود همه امکاناتی که برای آن‌ها فراهم شده بود، هکرها فقط به اطلاعات پایه کاربران ژاپنی که با یک جستجوی ساده در اینترنت قابل دسترسی است نیاز داشتند تا حمله خود را برنامه‌ریزی کنند.

دقیقا یک روز بعد از راه‌اندازی این اپ پرداخت آنلاین شکایت کاربران در مورد عمل نکردن پسورد اکانت‌هایشان شروع شد. سون الون هم روز بعد سرویس پرداخت خود را از دسترس خارج و با صادر کردن بیانیه‌ای خسارات این رخنه امنیتی را اعلام کرد. به گفته این شرکت، هکرها موفق شدند کنترل 900 حساب کاربری را به دست گرفته و 510 هزار دلار به جیب بزنند.

این کمپانی همچنین اعلام کرد که جبران تمام خسارات وارد شده به کاربران را به عهده خواهد گرفت. رسانه‌های ژاپن اخیرا اعلام کردند که پلیس دو فرد چینی را در هنگام خرید با اکانت 7pay یک شخص دیگر دستگیر کرده‌اند، البته هنوز مشخص نیست که آیا این افراد به حمله سایبری اخیر مرتبط هستند یا خیر.