7月1日,日本便利商店7-Eleven宣布推出行動支付系統「7pay」。然而上線才短短3天,就緊急召開記者會公開道歉,宣布可能有900名用戶遭到盜刷,損失金額合計約台幣1千5百萬元(5千5百萬日圓)。
外媒報導,7月1日上市的「7pay」是由日本柒和伊控股公司開發的行動支付,然而才剛營運不久,就出現重大安全性問題。日本柒和伊控股公司於7月4日緊急召開記者會,宣布可能有900名的用戶遭到盜刷。
▼7-Eleven推出的行動支付「7pay」,在上市3天後就傳出大量盜刷事件。(圖/翻攝自今日頭條)
然而,日本企業向來給人行事嚴謹的印象,此次由日本大企業推出的行動支付系統,竟短時間內就遭到第三方非法入侵,究竟問題出在哪?陸媒《今日頭條》的報導以7pay支付系統的設定條件,發現其中隱藏的問題:
1.7pay是以電子信箱作為帳號。
2. 登入密碼時,無設定錯誤次數上限。
3.用戶若想找回或更改密碼,只需使用註冊時填寫的「生日」。
3.生日非必填選項,若用戶未填,系統將自動設定為 2019 年 1 月 1 日。
4.想重設或找回密碼時,即使將生日填錯,也設定沒有錯誤的次數上限。
5.找回或重設的密碼,可以填寫另一個新的電子信箱接收,不一定要使用註冊時的電子信箱。
▼不少人認為,7pay的帳號和密碼的設定漏洞,是造成盜刷事件的主因。(圖/翻攝自今日頭條)
這些規則在專業的工程師眼中看來,簡直匪夷所思。簡單來說,如果一個7pay的用戶在申請帳號時沒有填寫生日,幾乎任何人都可以破解該帳號。又因生日在註冊條件中並未設定為必填選項,一定會有用戶跳過不填,加上沒有設定密碼輸入的次數上限,有心人士可不斷嘗試,直到試中為止,才會短短幾天內就造成近千用戶被盜刷。
報導中也提到,當天的記者會上另一個令眾人瞠目結舌的場景。當柒和伊控股公司社長上被記者問到「7pay為何沒有設定二次驗證」時,竟回答「二次驗證是什麼?」暴露出對相關知識的缺乏。
▼在記者會上,柒和伊控股公司社長為盜刷事件公開致歉。(圖/翻攝自今日頭條)
有幾位IT工程師《今日頭條》上針對此事提出看法。其中一位工程師表示,日本很多企業的IT業務都外包給其他公司,在層層轉包之下,實際著手系統開發者是否真正懂技術,令人懷疑。另一位曾經參與日本企業類似工作的工程師則指出,除了專業度問題外,也許也和日本企業的工作文化有關。日本人服從性高,企業中的階級制度又鮮明,員工不習慣向上呈報問題。有時就算提出了意見,上級或客戶經常只會回一句「式样通り」,意思是「照這樣做就好了」。這樣的企業文化,也容易導致系統的Bug在上市前不易被發現。
目前日本柒和伊控股公司承諾,將全額賠償被盜刷用戶的損失。而7pay的加值與註冊服務均也已暫時中止。雖然緊急止血,卻可能已影響消費者的信任感。《日本經濟新聞》的評論就認為,此次盜刷事件可能導致日本消费者不信任手機支付系統,導致日本預計2025年達到40%非現金支付的目標不易達成。
(封面圖/翻攝自今日頭條)
【往下看更多】
【熱門排行榜】