Пользователи японского 7-Eleven лишились примерно 55 000 000 иен (510 000 долларов), после того как неизвестные хакеры взломали их учетные записи в приложении 7pay и осуществили платежи через их счета.
Приложение 7pay было запущено на прошлой неделе, 1 июля 2019 года. Увы, его разработчики не заметили большую ошибку, связанную со сбросом паролей.
Данное приложение отображает на экране мобильного устройства специальный штрих-код, когда пользователь приходит на кассу в 7-Eleven. Кассир сканирует этот штрих-код, и стоимость купленных товаров списывается со счета в приложении 7pay , к которому пользователь привязывает свою кредитную или дебетовую карту.
Баг в функции сброса пароля 7pay позволял любому желающему запросить сброс пароля для чужой учетной записи, и ссылка для сброса пароля отправлялась на email-адрес атакующего, а не настоящего владельца аккаунта. Дополнительное поле в разделе сброса пароля позволяло запросить отправку ссылки на любой сторонний адрес. То есть злоумышленнику даже не приходилось копаться в коде приложения или модифицировать HTTP-запросы, как это бывает обычно.
Фактически злоумышленнику лишь нужно было узнать адрес электронной почты жертвы, дату ее рождения и номер телефона. Хуже того, если пользователь не ввел дату рождения, приложение использовало значение по умолчанию — 1 января 2019 года, что тоже облегчало проведение атак.
После многочисленных жалоб пользователей (1, 2, 3), уже 3 июля 2019 года сервис 7Pay приостановил работу. Сообщается, что за считанные дни работы приложения от рук злоумышленников пострадали почти 900 человек.
По информации местных СМИ, на прошлой неделе токийская полиция уже задержала двух граждан Китая, которые пытались купить сигареты, используя чужой аккаунт 7pay. Пока неясно, являются ли они подозреваемыми в атаках на 7pay.
