日本 7-11 的 7pay 支付系統遭詐騙攻擊

七月 09, 2019 安全與合規性, MOVEit

在日本,一想到 7-11,往往會聯想到大型「黑心企業」。許多人同情被迫長時間工作的加盟業主,但是,那終究不關己事,許多消費者仍然十分偏愛這間連鎖便利商店企業。不過,7-11 在 7 月份遇上了一個新麻煩,這次的問題直接對消費者造成了衝擊:7pay 支付服務遭詐騙利用。消費者非常重視這個問題。

7pay 詐騙概述

據 7-11 所述,大約有 900 名使用該公司行動支付服務 7pay 的客戶成為盜用帳戶的受害者,損失總計 5,500 萬日圓(510,000 美元)。Seven Pay Co. 董事長 Tsuyoshi Kobayashi 表示,這次詐騙盜用事件對使用者造成的損失,一律由該公司賠償。不過,實際情況是該公司花了兩天的時間暫停接受 7pay 服務,因為從一開始報案的詐騙案件就看得出來,Seven Pay 並沒有高度重視安全問題。

再者,事後發現該公司的支付機制並未採用雙重驗證 (2SA)。更糟的是,在記者會上,Seven Pay 代表渾然不知不用 2SA 可能會問題重重(但後來他們改變主意了)!

倘若這件事發生在歐盟居民身上,Seven Pay 可能會因為 GDPR 資料原則第 6 條而付出罰款,這條規定明定資料必須「採用能確實保障個人資料安全的處理方式,包括必須防範未經授權或非法的處理行為」。日本無現金化推進協議會 (Payments Japan Association) 制訂的準則規定,行動支付服務經營者必須確認使用者裝置與下載於裝置中的應用程式之間的連結情形,從而防範他人未經授權擅自存取(日本無現金化推進協議會是推廣非現金交易制度的機構)。

兩名中國人因疑似企圖使用駭進 7pay 後取得的資訊進行詐騙而遭到逮捕,警方懷疑背後有國際犯罪組織牽涉其中。日本時報 (Japan Times) 報導「經濟產業省 (Ministry of Economy, Trade and Industry) 認定經營者 Seven & I Holdings Co. 未嚴守預防未授權存取的準則,同時也警告類似服務的供應商務必確認使用者的身分。」

忽視安全的代價

發生這次資料外洩案之後,7-11 除賠償總金額達 5,500 萬日圓的損失之外,更不得不投入大量人力進行大規模調查與研究因應措施,對該公司而言,未嘗不是一項龐大的財務成本。不過,忽視安全真正要付出的代價恐怕更大。7pay 品牌聲譽一落千丈就是最好的例子!該公司較晚進入非現金支付產業,本該針對安全風險做好萬全準備。但時間終究會證明,這項服務開始後在安全方面犯下的錯誤究竟會讓這個品牌蒙受多少損失。

重要教訓:安全第一

日本大肆報導 7pay 這次發生的事件,許多專業資安人士指出該公司欠缺安全意識。我真的不知該做何反應 - 只能再三重複這句話「安全第一」。

如果您和我一樣,請好好檢討貴公司在安全方面的預備措施。多重要素驗證共用安全資料夾、傳輸中資料與閒置中資料的加密,以及中央存取控制,只不過是公司系統一定要具備之重要安全功能的其中幾項。

Junko Mizuno