Приложение 7-Eleven за три дня лишило японцев полумиллиона долларов

В понедельник 1 июля японское подразделение компании 7-Eleven, управляющей сетью небольших магазинов с продленным рабочим днем во многих странах мира, запустило мобильное приложение 7pay. Оно позволяет покупателям расплачиваться на кассах 7-Eleven с помощью своих смартфонов. Однако уже 3 июля работа сервиса 7pay была прекращена. Причиной стали многочисленные жалобы пользователей на несанкционированные списания средств с их счетов.

Как выяснилось, разработчики приложения допустили грубую ошибку. Она позволяла абсолютно любому пользователю запросить изменение пароля - при этом ссылка на сброс пароля направлялась на электронный адрес запросившего, а вовсе не владельца аккаунта. Для осуществления атаки злоумышленникам требовалось всего лишь знать адрес электронной почты, дату рождения и номер мобильного телефона жертвы. В результате всего за три дня со счетов примерно 900 пользователей приложения были похищены в общей сложности порядка 55 миллионов иен (510 тысяч долларов). Компания 7-Eleven объявила о том, что в полном объеме компенсирует убытки всем пострадавшим.

Источник: ZDNet