Hakerzy ukradli pół miliona dolarów klientom 7-Eleven

Firma 7-Eleven Japan, czyli japoński oddział popularnych sklepów z USA (odpowiednik polskich “Żabek”, a więc niewielkich sklepów spożywczych) wpadła ostatnio w tarapaty. Niedawno uruchomiła płatności mobilne w swojej aplikacji 7Pay, która umożliwiała klientom łatwiejsze zakupy. Zeskanowanie kodu kreskowego w aplikacji i powiązanie płatności z połączoną do aplikacji kartą kredytową lub debetową nie wymagała w ogóle chodzenia do kasy (podobnie jak w Amazon Go). Niestety, pięknie brzmi to tylko w teorii. Zaledwie tydzień po tym, jak uruchomiono nową funkcję firma musiała ją wyłączyć. Winna okazała się luka w aplikacji, która pozwoliła hakerom ukraść 500 000 dolarów. Nakładali oni na użytkowników fałszywe opłaty, wyglądające jak zwykłe zakupy.
7-eleven
7-eleven

7-eleven
Sama aplikacja działa nadal, ale płatności elektroniczne zostały w niej zablokowane (fot. 7-Eleven)

Hakerzy, jak się okazuje, działali bardzo szybko. 7-Eleven Japan otrzymało pierwszą skargę 2 lipca, czyli jeden dzień po uruchomieniu nowej funkcjonalności. Jeden z klientów zauważył, że został obciążony opłatą, której nie rozpoznawał jako zgodnej z jego zakupami. Błąd w aplikacji wymagał od hakerów znajomości daty urodzenia, adresu e-mail i numeru telefonu użytkownika, którego chcieli okraść. Na czym polegała luka oprogramowania? Otóż jeśli użytkownicy nie wypełnili daty urodzenia przy rejestracji system ustawiał ją na 1 stycznia 2019 r. Hakerzy najwyraźniej zautomatyzowali swój atak i dzięki temu byli w stanie okraść około 900 osób. Łącznie udało im się zdobyć około 55 milionów jenów czyli nieco ponad 500 000 USD. Po przeliczeniu na złotówki to około 1,92 miliona złotych.

Firma 7-Eleven Japan potwierdziła, że zawiesiła działanie tej funkcji w aplikacji i że użytkownicy dostaną rekompensatę. Jak dotąd w sprawie zatrzymano dwie osoby. Ciekawostką jest, że obie próbowały użyć zhakowanego konta, a japońskie władze twierdzą, że mogły zostać wynajęte przez chińską grupę przestępczą, która używa skradzionych tożsamości online. | CHIP