日本7-Eleven移动支付盗刷分析:严谨的日本人犯了什么错?
7-Eleven诞生于美国,自伊藤洋华堂1973年引入日本之后迅速发展,时至今日已经占领了日本大街小巷的各个角落。所谓7-Eleven是指本店从早上7点营业到晚上11点,在1946年这种对营业时间的改动无疑是极具创新的一步,被誉为揭开了便利店时代的序幕,而这次盗刷事件也来自于7-Eleven的创新。
日本警方侦办案件抓了两个中国人
7月1日,日本7-Eleven公司在自家旗下超过两万家便利店正式提供手机支付服务7pay。为了推广,7-Eleven公司下了血本,其计划在每年在发放优惠券、现金返现等方面投入500亿日元,约合人民币31.6亿,另外还有积分活动等等。
7-Eleven为7pay推出的优惠活动
然而这项野心勃勃、可能会持续数年的推广计划在刚刚问世几天就遭遇了重大打击。7月4日,在7pay上线第四天,日本7-Eleven官方证实7pay安全系统被外部入侵,受害人约有900人,被盗用资金大约5500万日元,约合人民币350万元。当天下午,7pay董事长召开记者会向受害人谢罪道歉,并表示所有损失将由官方进行全额赔偿。
官方表示,最大一波盗刷发生在7月3日晚间,为了避免盗刷情形继续扩大,7pay立即停止了储值功能,并暂停新会员用户注册。7-Eleven官方指出,盗刷是因为海外IP不法入侵,案件已经交由警方调查侦办。7月4日晚间,日本警方发布新闻,在新宿歌舞伎町逮捕了2名涉案中国人,分别是22岁的张升和25岁的王云飞(音译)。
据媒体报道,张王两人在7月3日晚上前往7-Eleven使用他人7pay购买了146箱电子烟烟弹,共花费73万日元,约合人民币4.5万元。受害人收到不明消费记录找到该家便利店询问才是两人暴露了马脚,被警方逮捕。
张升向警方表示,自己是受他人指示,指使人通过社交软件向其发送7pay账户ID和密码,每购买一盒烟弹的报酬是300日元,约合人民币19元。这种盗刷是不是有组织的,背后是谁在操控现在日本警方还在调查。
疑点重重的盗刷案件
盗刷案发生之后,立即就有了解情况的人士做出了原因分析,他们认为没有双重认证是7pay被盗刷的最大问题。
7pay设计有密码丢失重置密码的功能,在此过程中只需要填写会员出生年月日和申办时的邮箱即可,在填入验证码之后就可以使用任意邮箱重置密码。如果该账号已经绑定银行卡,在重置密码之后并不影响银行卡的使用,依旧可以为7pay账户充值。
重要的是,作为身份认证的一环,会员出生年月日可以选择为默认的2019年1月1日,而且在重置密码时,会员注册邮箱并不会收到任何消息。
此次盗刷大约影响900人,被盗金额达到5500万日元,平均每人被盗用6万日元,约合人民币3800元,张王两人因为在一家7-Eleven盗刷73万日元,约合人民币4.5万元购买烟弹被捕,被捕时他们手上有7-8个账号,以8个账号计算,每个账号平均盗刷了超过5000元人民币。
或许7pay账户在进行二维码支付时可能没有设置消费限额,或者消费限额设置的较高,这也许是此次盗刷金额如此庞大的原因。
7-Eleven或许发生了大规模数据泄露
虽然此次7pay账户被盗刷的原因已经找到,但是依旧有不少疑点,其中最为重要的一点是:犯罪分子如何获得7pay的账户?
根据7pay官方数据,其会员大约有150万人,这个人数相比较日本1.2亿人口来说是极其渺小的,如何在茫茫人海中寻找到7pay会员是个大问题,结合日本7-Eleven官方说法,盗刷是因为海外IP入侵所导致,我们可以大胆猜测一下,7-Eleven或许发生了会员数据泄露事件,但是现在并未成为关注的热点。
如果猜测为真,这无疑将为7-Eleven的信誉带来极其严重的打击。在日本发展了46年的7-Eleven早就不是一间简单的便利店,顾客可以在里面享受到从水电费充值,到游乐园、飞机购票等等各种服务,其涉及的业务种类繁多,对用户的数据分析也是7-Eleven保证其多年利润的诀窍之一。
总结
此次盗刷事件,不仅仅是7pay受到影响,事实上paypay等移动支付公司也有发生盗刷案,只是没有这次7pay的严重,或许日本民众对于移动支付的各种疑问会顺势爆发。无论如何,日本的移动支付之路注定了前路坎坷曲折。
7月5日,7pay宣布将采取引入双重认证机制、调整单次充值上限额等举措,将成立新的安全组织“安全对策项目”以应对未来的安全问题。
移动支付网将持续关注后续发展。