Клиенты 7-Eleven в Японии лишились порядка $500 тыс. из-за уязвимости в приложении
Причиной инцидента стал недочет в дизайне мобильного платежного сервиса 7pay.
Неизвестные взломали учетные записи порядка 900 пользователей мобильного приложения сети минимаркетов 7-Eleven в Японии и оплачивали покупки за их счет. Сумма ущерба от действий злоумышленников оценивается в 55 млн йен (примерно $510 тыс.), сообщает Yahoo!Japan. Причиной инцидента стал недочет в дизайне мобильного платежного сервиса 7pay, который компания запустила 1 июля. Как оказалось, реализованная в приложении функция сброса пароля позволяла любому пользователю запросить сброс пароля для чужих аккаунтов, при этом ссылка отправлялась на электронный адрес этого человека, а не законного владельца учетной записи.
Для взлома злоумышленнику требовалось всего лишь знать адрес электронной почты пользователя, его дату рождения и номер телефона. Более того, если в поле не указывалась дата рождения, приложение автоматически проставляло дату 1 января 2019 года, что только упрощало задачу злоумышленникам.
Жалобы на несанкционированные покупки стали появляться в Сети спустя день после запуска приложения. В итоге 3 июля компания 7-Eleven отключила сервис 7pay и пообещала возместить убытки всем пострадавшим.
