Os clientes do 7-Eleven do Japão perdem US $ 500 mil em segurança BASIC

Parece que os desenvolvedores do aplicativo de carteira 7-Eleven do Japão (7 Pay) não ouviram falar de fraude telefônica. Se tivessem, eles teriam criado um método mais seguro de alterar senhas de usuários no aplicativo. Como resultado de sua relativa falta de finesse no desenvolvimento deste aplicativo, 900 clientes perderam um total de aproximadamente 55 milhões de ienes (que se converte em cerca de US $ 506 mil).

O lapso de segurança ficou no aplicativo oficial da carteira 7-Eleven, um aplicativo que se conectaria a a conta bancária de um usuário e deu recompensas e ofertas aos clientes com base em suas compras. Para pagar as compras, os clientes simplesmente chamam um código de barras e permitem que o código de barras seja escaneado pelo atendente.

Se eu tivesse lido isso até aqui na história, teria assumido que o código de barras seria o problema. Esse sistema tem tanto potencial para falhas de segurança que fiquei chocado ao descobrir que o incidente ocorreu em outro lugar. Na verdade, a falha de segurança não estava no aplicativo em si, mas no processo em que um cliente tinha permissão para redefinir sua senha.

Para redefinir uma senha para o aplicativo de carteira, os usuários mal-intencionados precisariam apenas do endereço de e-mail, data de nascimento e número de telefone do cliente. Por meio do processo de redefinição de senha padrão, um usuário mal-intencionado conseguiu enviar um link de redefinição de senha para um endereço de e-mail de terceiros. Depois que o link de redefinição foi enviado, o usuário mal-intencionado estava com o controle total da carteira.

A maioria dos e-mails, DOB e número de telefone de usuários foi relativamente fácil de encontrar na Web por meio de inúmeras violações anteriores em sites. O processo de lá teria sido fácil o suficiente - mas ainda há mais uma quebra na cadeia de segurança.

Se um usuário quisesse se inscrever em uma conta do 7-Eleven Wallet sem a data de nascimento, a data de nascimento seria 01/01/2019 (ou qualquer ano que estivesse na inscrição) . Você pode imaginar o prazer dos usuários maliciosos em descobrir esse detalhe específico.

O que você pode fazer para evitar uma situação como essa, como usuário? Se você precisa se inscrever em aplicativos de "carteira", tente fazer isso com detalhes da conta que você nunca combinou antes. Por exemplo, inscreva-se com seu número de telefone padrão, mas crie um novo endereço de e-mail para usar somente para essa conta.

Fique esperto! Prance ao redor descontroladamente, como um gato! Se eles não podem prever suas ações, você não pode ser pego!

OBSERVE TAMBÉM: Se você é usuário do aplicativo 7-Eleven Wallet (7 Pay) no Japão (ou em qualquer outro lugar do mundo), provavelmente vai querer parar agora e Desautorize a conta do acesso à sua conta bancária. Se você descobriu que foi vítima de fraude, há um processo listado no Seven Eleven Japan, embora você também queira entrar em contato com as autoridades locais.

História TimelineApple Pay, o Google Pay agora aceito no teste de check-out sem caixa 7-Eleven7-Eleven começa em 14 lojas de Dallas7-Eleven agora oferece lanches para parques e outros locais públicos

Via: Slash Gear