7-eleven

Hakerzy ukradli pół miliona dolarów klientom 7-Eleven

Drobny błąd w aplikacji pozwolił na wyjątkowo szybki zarobek. Nie chodzi jednak o samą sieć sklepów 7-Eleven Japan, a o hakerów, którzy bardzo skutecznie osuszyli konta klientów.

Firma 7-Eleven Japan, czyli japoński oddział popularnych sklepów z USA (odpowiednik polskich „Żabek”, a więc niewielkich sklepów spożywczych) wpadła ostatnio w tarapaty. Niedawno uruchomiła płatności mobilne w swojej aplikacji 7Pay, która umożliwiała klientom łatwiejsze zakupy. Zeskanowanie kodu kreskowego w aplikacji i powiązanie płatności z połączoną do aplikacji kartą kredytową lub debetową nie wymagała w ogóle chodzenia do kasy (podobnie jak w Amazon Go). Niestety, pięknie brzmi to tylko w teorii. Zaledwie tydzień po tym, jak uruchomiono nową funkcję firma musiała ją wyłączyć. Winna okazała się luka w aplikacji, która pozwoliła hakerom ukraść 500 000 dolarów. Nakładali oni na użytkowników fałszywe opłaty, wyglądające jak zwykłe zakupy.

7-eleven
Sama aplikacja działa nadal, ale płatności elektroniczne zostały w niej zablokowane (fot. 7-Eleven)

Hakerzy, jak się okazuje, działali bardzo szybko. 7-Eleven Japan otrzymało pierwszą skargę 2 lipca, czyli jeden dzień po uruchomieniu nowej funkcjonalności. Jeden z klientów zauważył, że został obciążony opłatą, której nie rozpoznawał jako zgodnej z jego zakupami. Błąd w aplikacji wymagał od hakerów znajomości daty urodzenia, adresu e-mail i numeru telefonu użytkownika, którego chcieli okraść. Na czym polegała luka oprogramowania? Otóż jeśli użytkownicy nie wypełnili daty urodzenia przy rejestracji system ustawiał ją na 1 stycznia 2019 r. Hakerzy najwyraźniej zautomatyzowali swój atak i dzięki temu byli w stanie okraść około 900 osób. Łącznie udało im się zdobyć około 55 milionów jenów czyli nieco ponad 500 000 USD. Po przeliczeniu na złotówki to około 1,92 miliona złotych.

Reklama

Firma 7-Eleven Japan potwierdziła, że ​​zawiesiła działanie tej funkcji w aplikacji i że użytkownicy dostaną rekompensatę. Jak dotąd w sprawie zatrzymano dwie osoby. Ciekawostką jest, że obie próbowały użyć zhakowanego konta, a japońskie władze twierdzą, że ​​mogły zostać wynajęte przez chińską grupę przestępczą, która używa skradzionych tożsamości online. | CHIP

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.