日本力推無現金支付,無奈7-11電子支付服務一上路就被駭,大扯後腿。

■The incident came to light soon after Seven & I launched the smartphone payment service at over 20,000 outlets nationwide Monday.

日本便利商店的龍頭老大「7-11」7月1日剛推出自家智慧型手機支付軟體「7pay」服務,4日便發現約有900名用戶的支付軟體密碼遭第三者入侵竄改,導致軟體綁定的信用卡等遭盜刷,歹徒任意儲值後,隨即在日本各地的7-11購買高額商品。

這項支付服務才上路不到四天,估計受害總額約達5,500萬日圓(約台幣1,595萬元),也為日本大力推動的「無現金支付」澆了一大盆冷水。

一名40多歲在東京都內上班的受害男性表示,由於公司附近有家7-11便利商店, 1日得知「7pay」推出時,心想買午餐時會很方便就立刻下載使用了,沒想到3日竟發現「7pay」被盜用,兩個半小時內遭人盜刷信用卡儲值後,盜用了30萬日圓。

該男子3日中午確認電腦電郵時,發現「7pay」連續傳來多封信用卡刷卡儲值的電郵通知。由於這套軟體7月才剛上路,受害男性一開始沒有可能被盜用的警覺心,直到用手機登入「7pay」後才發現,用信用卡儲值的9萬日圓在一小時之內已在埼玉縣內的7-11花光。

男性當時還在東京工作,但不到兩個半小時內「7pay」就被儲值了十次,且在距離很遠的埼玉縣、千葉縣的三家7-11被盜用了約30萬日圓。男性查覺不對後,懷疑可能是組織性犯罪,於是立刻聯絡信用卡公司止付「7pay」。

資安漏洞 引發疑慮

受害男性向日媒表示,沒想到ID和密碼這麼快、這麼容易就被盜用與竄改,真是超乎自己可控制的範圍,這次的受害經驗讓他認識到網路電子支付的風險,也決定近期不再使用類似的支付服務了。

日本警視廳新宿警署3日逮捕到兩名涉案的大陸嫌犯,他們正要用盜自「7pay」的錢購買總額約20萬日圓的電子菸,被警員當場逮捕。兩名嫌犯供稱事前互不相識,是透過「微博」接收犯案指令,被告知「7pay」的帳號、密碼後,依指示到店裡買電子菸的菸彈,每一盒菸彈的報酬是300日圓。警方懷疑可能有國際犯罪組織介入此案。

負責營運「7pay」的公司4日表示,「7pay」自7月1日正式啟用後,約有150萬人下載軟體並登錄成為會員用客。這次帳戶遭駭的用戶約達900名,估算至4日上午6點的受害金額可能超過5,500萬日圓。

該公司宣布,將賠償所有受害用戶的損失,並加強安全對策。自7月4日起停止「7pay」的加值及新用戶登錄服務,同時將緊急調查被盜用的原因,確認安全性後再考慮重新提供支付服務。

驗證機制不夠嚴謹

經初步調查發現,這次「7pay」的問題主要出在該系統的密碼重設與身分驗證機制不夠嚴謹。日本經濟產業大臣世耕弘成9日在記者會上斥責,「7pay」未採用確認身分的「二階段認證」,這應該是基本中的基本。經產省已嚴加要求7-11加強相關安全對策。

所謂「二階段認證」是驗證身分的安全機制,若要用與最初登錄系統時不同的手機登入的話,密碼會先傳送到手機的簡訊裡,輸入該密碼後才能登入使用軟體。此外,當用戶要更改密碼時,除了原先登錄的電郵之外,其他的電郵是無法申請更改密碼手續的。

二維條碼支付服務操作簡便,在大陸等地已十分普及,但在日本才剛起步。日本軟體銀行集團推出PayPay支付服務,還以100億日圓還原促銷活動吸引客戶。樂天集團也推出樂天Pay,在便利商店、藥妝店用樂天Pay付款就可得到800點的點數等。這樣激烈的競爭背景下,「7pay」想後來居上,便優先考慮消費者的便利性,而忽略了最重要的安全問題。

#信用卡 #日本 #支付