日本7pay上線3天遭盜刷千萬！工程師這樣說

7月1日，日本便利商店7-Eleven宣布推出行動支付系統「7pay」。然而上線才短短3天，就緊急召開記者會公開道歉，宣布可能有900名用戶遭到盜刷，損失金額合計約台幣1千5百萬元（5千5百萬日圓）。

外媒報導，7月1日上市的「7pay」是由日本柒和伊控股公司開發的行動支付，然而才剛營運不久，就出現重大安全性問題。日本柒和伊控股公司於7月4日緊急召開記者會，宣布可能有900名的用戶遭到盜刷。

▼7-Eleven推出的行動支付「7pay」，在上市3天後就傳出大量盜刷事件。（圖／翻攝自今日頭條）

然而，日本企業向來給人行事嚴謹的印象，此次由日本大企業推出的行動支付系統，竟短時間內就遭到第三方非法入侵，究竟問題出在哪？陸媒《今日頭條》的報導以7pay支付系統的設定條件，發現其中隱藏的問題：

1.7pay是以電子信箱作為帳號。
2. 登入密碼時，無設定錯誤次數上限。
3.用戶若想找回或更改密碼，只需使用註冊時填寫的「生日」。
3.生日非必填選項，若用戶未填，系統將自動設定為 2019 年 1 月 1 日。
4.想重設或找回密碼時，即使將生日填錯，也設定沒有錯誤的次數上限。
5.找回或重設的密碼，可以填寫另一個新的電子信箱接收，不一定要使用註冊時的電子信箱。

▼不少人認為，7pay的帳號和密碼的設定漏洞，是造成盜刷事件的主因。（圖／翻攝自今日頭條）

這些規則在專業的工程師眼中看來，簡直匪夷所思。簡單來說，如果一個7pay的用戶在申請帳號時沒有填寫生日，幾乎任何人都可以破解該帳號。又因生日在註冊條件中並未設定為必填選項，一定會有用戶跳過不填，加上沒有設定密碼輸入的次數上限，有心人士可不斷嘗試，直到試中為止，才會短短幾天內就造成近千用戶被盜刷。

報導中也提到，當天的記者會上另一個令眾人瞠目結舌的場景。當柒和伊控股公司社長上被記者問到「7pay為何沒有設定二次驗證」時，竟回答「二次驗證是什麼？」暴露出對相關知識的缺乏。

▼在記者會上，柒和伊控股公司社長為盜刷事件公開致歉。（圖／翻攝自今日頭條）

有幾位IT工程師《今日頭條》上針對此事提出看法。其中一位工程師表示，日本很多企業的IT業務都外包給其他公司，在層層轉包之下，實際著手系統開發者是否真正懂技術，令人懷疑。另一位曾經參與日本企業類似工作的工程師則指出，除了專業度問題外，也許也和日本企業的工作文化有關。日本人服從性高，企業中的階級制度又鮮明，員工不習慣向上呈報問題。有時就算提出了意見，上級或客戶經常只會回一句「式样通り」，意思是「照這樣做就好了」。這樣的企業文化，也容易導致系統的Bug在上市前不易被發現。

目前日本柒和伊控股公司承諾，將全額賠償被盜刷用戶的損失。而7pay的加值與註冊服務均也已暫時中止。雖然緊急止血，卻可能已影響消費者的信任感。《日本經濟新聞》的評論就認為，此次盜刷事件可能導致日本消费者不信任手機支付系統，導致日本預計2025年達到40%非現金支付的目標不易達成。

（封面圖／翻攝自今日頭條）