今年7月初,日本7-11風光推出行動支付服務7 Pay,然而上線不到一周便因嚴重安全漏洞遭駭客攻擊,使近千名消費者蒙受損失,盜用近4,000萬日圓。
如今官方研判問題太大無法繼續營運,日本7-11母公司7&I控股在8月1日召開記者會,宣布7 Pay將於9月30日壽終正寢,結束短短3個月的服務。
推出4天就被駭,官方緊急暫停服務
日本7-11於7月1日發布7 Pay行動支付,民眾可利用App在日本全國7-11進行消費,每使用200日圓即可獲得1日圓點數(nanaco)回饋。這項服務甫推出3天,就吸引上百萬名用戶註冊。
然而才上線沒多久,7月4日就傳出許多用戶帳號遭第三方盜用。7-11官方推估受害用戶約900名,被盜用金額逾3,000萬日圓。盜用事件爆發後,7-11也立即暫停申辦帳戶與儲值功能,這項支付服務可說近乎停擺。
在後續調查中,官方發現7-11集團的共通帳號「7iD」具有嚴重安全漏洞,在7月11日中止外部帳戶的登入功能;並於30日全面重置7iD用戶密碼。即便如此,官方評估無法短期內修復,在8月1日召開記者會,宣告結束7 Pay的服務。
7&i控股副社長後藤克弘、7&I Net Medua社長田口廣人、7&I控股數位戰略推進本部高級主管清水健、7 Pay營業部長奧田裕康等四人代表出席記者會,並因7 Pay引發的事件,深深向日本社會致上歉意。
遭盜用逾千萬元,7-11保證補償用戶損失
7&I控股副社長後藤克弘表示,截至7月31日為止,此事件受害用戶累計為808人,損失金額達3,861萬日圓(約新台幣1,100萬元)。同時,7-11官方保證會彌補所有受害用戶的損失。
目前7 Pay用戶依舊可在各家7-11消耗帳號內的餘額,停止服務時未使用完畢的部份,7-11也強調會全數奉還。
盜用事件發生後,7 Pay薄弱的安全防護措施立刻成為眾矢之的。目前已普遍用在大多支付App的雙重驗證功能,7 Pay也不具備。7-11坦承,原先他們認為可透過系統監控阻止可疑交易,才為了便利性不提供雙重認證功能,但事實證明安全防護遠遠不足。
7-11聲稱,經外部調查顯示,本次事件極可能是受到外國駭客的密碼噴灑攻擊。在事件爆發前夕,登入伺服器接收到上千萬次錯誤登入要求,包括試圖登入未登記帳號、輸入密碼錯誤等,並否認早前外界質疑7-11外流用戶資料的可能性。
稍早前,日本警方也捕獲兩名利用漏洞牟利的中國籍嫌犯,兩人都聲稱受他人指使。其中22歲男子張升透露,他在微信上看到一則幫忙買東西就能賺外快的消息,才按照指示購買大量電子菸。目前警方懷疑有大型國際犯罪組織參與其中。
對於外界為何需要到停止營運的地步,7-11則解釋,驗證系統有安全疑慮是已知的事實,決定中止服務並非出自經營上的判斷,而是基於保護使用者的考量。雖然7iD本身防護具有相當程度,然而考慮到完成7 Pay修繕需要一定時間,才做出此決定。
只是「踩煞車」,7-11將重整再出發
7 Pay本應該是推動7&i控股數位戰略的服務。今年4月時,7&i控股喊出要在年內將7iD用戶從1,500萬增加至3,000萬,串連集團內各個品牌的優惠與商品資訊,進而達到促進銷售、擴大客戶群的目的。
雖然此次事件弄得沸沸揚揚,但7&i控股不打算改變推動數位戰略的方針,也不會追究管理層的責任。在7 Pay上的滑鐵盧,後藤克弘聲稱,對整體集團營運並沒有造成太大影響,或許可以說微乎其微。
經由這次教訓,7&i控股預計之後將設立更全面、連結全社的安全組織,採取與時並進的資安防護措施,同時宣稱一切準備就緒後會捲土重來,不過後藤克弘也提到,將不會再以7 Pay的名義重新出發,宣告7 Pay已經終結。
與7-11同為日本三大便利商店的FamilyMart,在7 Pay登場同日也推出FamiPay行動支付服務。FamiPay推出1個月來已累積315萬用戶,兩者的命運大相逕庭。
責任編輯:張庭銉
